Sodinokibi病毒

Sodinokibi病毒 介紹

Sodinokibiler索索軟件截圖 Sodinokibi Ransomware是一種新的惡意軟件威脅,正在網絡犯罪圈中引起越來越多的關注。儘管Sodinokibi以典型的勒索軟件方式運行-它會滲透到受害者的計算機中,使用強大的加密算法對文件進行加密,並要求對其進行恢復,但對其底層代碼進行分析後發現,這是一種全新的惡意軟件,而不是更新的變體已經存在的勒索軟件。

零日漏洞利用助長了第一次Sodinokibi攻擊

Sodinokibi最早是在4月25日被發現的,當時它是在利用零日Oracle WebLogic Server漏洞的攻擊中使用的。 。零日漏洞利用的嚴重性不可低估,因為它允許遠程執行代碼而無需任何其他需要的身份驗證憑據。 Oracle在其常規補丁程序週期之外的4月26日發布了補丁程序,對其進行了修復並將漏洞分配為CVE-2019-2725。

通過此漏洞,攻擊者無需任何用戶輸入即可將Sodinokibi有效負載下載到端點計算機。通常,勒索軟件威脅需要至少與受害者進行一些交互才能開始感染。一旦進入,Sodinokibi將開始加密具有以下擴展名的所有文件:

.jpg,.jpeg,.raw,.tif,.gif,.png,.bmp,.3dm,.max,.accdb,.db,.dbf,.mdb,.pdb,.sql,.dwg,.dxf ,.cpp,.cs,.h,.php,.asp,.rb,.java,.jar,.class,.py,.js,.aaf,.aep,.aepx,.plb,.prel 、. prproj,.aet,.ppj,.psd,.indd,.indl,.indt,.indb,.inx,.idml,.pmd,.xqx,.xqx,.ai,.eps,.ps,.svg, .swf,.fla,.as3,.as,.txt,.doc,.dot,.docx,.docm,.dotx,.dotm,.docb,.rtf,.wpd,.wps,.msg,.pdf ,.xls,.xlt,.xlm,.xlsx,.xlsm,.xltx,.xltm,.xlsb,.xla,.xlam,.xll,.xlw,.ppt,.pot,.pps,.pptx 、. pptm,.potx,.potm,.ppam,.ppsx,.ppsm,.sldx,.sldm,.wav,.mp3,.aif,.iff,.m3u,.m4u,.mid,.mpa,.wma, .ra,.avi,.mov,.mp4,.3gp,.mpeg,.3g2,.asf,.asx,.flv,.mpg,.wmv,.vob,.m3u8,.dat,.csv,.efx ,.sdf,.vcf,.xml,.ses,.qbw,.qbb,.qbm,.qbi,.qbr,.cnt,.des,.v30,.qbo,.ini,.lgb,.qwc 、. qbp,.aif,.qba,.tlg,.qbx,.qby,.1pa,.qpd,.txt,.set,.iif,.nd,.rtp,.tlg,.wav,.qsm,.qss, .qst,.fx0,.fx1,.mx0,.fpx,.fxr,.fim,.ptb,.ai,.pfb,.cgn,.vsd 、. cdr,.cmx,.cpt,.csl,.cur,.des,.dsf,.ds4,.drw,.eps,.ps,.prn,.gif,.pcd,.pct,.pcx,.plt ,.rif,.svg,.swf,.tga,.tiff,.psp,.ttf,.wpd,.wpg,.wi,.raw,.wmf,.txt,.cal,.cpx,.shw 、. clk,.cdx,.cdt,.fpx,.fmv,.img,.gem,.xcf,.pic,.mac,.met,.pp4,.pp5,.ppf,.nap,.pat,.ps, .prn,.sct,.vsd,.wk3,.wk4,.xpm,.zip,.rar。

對於每個受感染的系統,Sodinokibi都會生成一個獨特的字母數字字符串,長度在5到9個字符之間,並將其作為新擴展名附加到每個成功加密的文件中。然後,勒索軟件會在每個包含加密文件的文件夾中創建帶有勒索便條的文本或HTA文件。贖金記錄的名稱遵循以下格式-[RANDOM EXTENSION] -HOW-TO-DECRYPT.txt. 例如,如果Sodinokibi已生成a5b892t作為特定計算機的擴展名,則贖金記錄將命名為a5b892t-HOW-TO-DECRYPT.txt。

Sodinokibi勒索軟件具有利用“ cmd.exe”執行vssadmin實用程序的功能,以防止用戶通過默認的Windows備份機制還原加密的文件。更具體地說,勒索軟件執行以下命令以刪除受影響文件的捲影副本並禁用Windows啟動修復:

C:\ Windows \ System32 \ cmd.exe“ / c vssadmin.exe刪除陰影/ All / Quiet&bcdedit / set {默認} restoreenabled否&bcdedit / set {default} bootstatuspolicy ignoreallfailures

Sodinokibi要求大量的解密費用

Sodinokibi背後的犯罪分子沒有將他們的指示和要求放在贖金的正文中,而是將所有受影響的用戶定向到兩個網站-一個位於TOR網絡上的.onion網站和一個位於“解密者”域的Internet公共部分上的一個網站。 [。]最佳。”註釋的全文為:

“-===歡迎。再次。=== ---

[+]發生了什麼? [+]

您的文件已加密,目前不可用。您可以檢查一下:計算機上的所有文件都有擴展----------。
順便說一句,一切皆有可能恢復(還原),但是您需要遵循我們的說明。否則,您將無法返回數據(從不)。

[+]有什麼保證? [+]

它只是一項業務。除了獲得利益,我們絕對不關心您和您的交易。如果我們不做我們的工作和責任-沒有人會與我們合作。它不符合我們的利益。
要檢查返回文件的功能,請訪問我們的網站。您可以在那裡免費解密一個文件。那是我們的保證。
如果您不配合我們的服務-對我們來說,這無關緊要。但是您會浪費時間和數據,因為我們只有私鑰。在實踐中-時間比金錢更有價值。

[+]如何獲得網站訪問權限? [+]

您有兩種方法:

1)[推薦]使用TOR瀏覽器!
a)從以下站點下載並安裝TOR瀏覽器:hxxps://torproject.org/
b)打開我們的網站:hxxp://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/913AED0B5FE1497D

2)如果TOR在您所在的國家/地區受阻,請嘗試使用VPN!但是您可以使用我們的輔助網站。為了這:
a)打開任何瀏覽器(Chrome,Firefox,Opera,IE,Edge)
b)打開我們的輔助網站:http://decryptor.top/913AED0B5FE1497D

警告:二級網站可能被屏蔽,這就是第一個變體更好,更可用的原因。

當您打開我們的網站時,在輸入表單中輸入以下數據:
鍵:

--

擴展名:

-----------

-------------------------------------------------- ---------------------------------------

!!!危險 !!!
不要嘗試自己更改文件,不要使用任何第三方軟件來還原您的數據或防病毒解決方案-這可能會損壞私鑰,從而導致丟失所有數據。
!!! !!! !!!
一次以上:取回文件符合您的利益。在我們這方面,我們(最好的專家)竭盡所能進行恢復,但是請不要干涉。
!!! !!! !!!”

為了訪問註釋中列出的任一站點,用戶必須輸入一個特定的密鑰,該密鑰可以在贖金註釋的文本文件中找到. 輸入密碼後,它們將被帶到以下登錄頁面,該頁面將顯示其計算機系統的特定擴展名ID代碼和一個倒計時計時器,顯示兩天內贖金的總和將增加一倍-從2500美元增加到5000美元,以比特幣加密貨幣支付。該網站每3小時重新計算一次比特幣/美元匯率,並更新顯示的數字。

Sodinokibi Ransomware屏幕截圖

Sodinokibi勒索軟件擴大了覆蓋範圍

在關閉了Oracle WebLogic零日補丁的補丁之後,研究人員發現用於分發Sodinokibi勒索軟件的攻擊媒介有所增加。實際上,現在已經嘗試了幾乎所有可能的分發方法:

垃圾郵件活動-德國用戶受到惡意垃圾活動的攻擊,該活動將Sodinokibi有效負載攜帶在偽裝成緊急取消贖回權通知的受損電子郵件附件中。另一個電子郵件活動偽裝為Booking.com的“新預訂”。為了訪問假定的預訂信息,用戶必須打開word文件,然後允許執行宏。這樣做將啟動Sodinokibi勒索軟件感染。

替換合法的軟件下載- 根據TG Soft的說法 ,意大利WinRar發行商的網站受到了威脅,導致下載了Sodinokibi勒索軟件而不是WinRar程序。

被黑的託管服務提供商(MSP)-黑客攻擊了幾家託管服務提供商,以向他們的客戶分發Sodinokibi勒索軟件。顯然,攻擊者使用遠程桌面服務進入了受影響的MSP的網絡,然後將勒索軟件文件通過管理控制台推送到客戶端的終結點計算機。

漏洞利用工具包-在某些情況下,通過PopCash廣告網絡上的廣告進行的惡意廣告活動似乎將用戶重定向到帶有RIG漏洞利用工具包的網站。

顯而易見,Sodinokibi的分支機構越來越雄心勃勃,現在可能正試圖填補因GandCrab Ransomware運營商關閉運營並聲稱已產生超過20億美元贖金而造成的真空。

不管Sodinokibi是否能夠搶占當前最流行的勒索軟件,都有某些步驟可以幫助所有用戶針對此類勒索軟件攻擊建立強大的防禦力。最可靠的方法之一是創建系統備份,該備份存儲在未連接到網絡的驅動器上。通過訪問這種備份,用戶可以簡單地恢復惡意軟件劫持的文件,而數據丟失最少。此外,使用合法的反惡意軟件程序並將其更新,可能意味著某些勒索軟件威脅甚至在它們有機會執行其惡意代碼之前就已被阻止。

您是否擔心您的計算被Sodinokibi病毒 &或其他威脅感染? 用SpyHunter掃描您的電腦

SpyHunter是一款功能強大的惡意軟件修復和保護工具,幫助用戶進行深入的計算機系統安全分析,檢測和清理如Sodinokibi病毒的各種威脅,並提供一對一的技術支持服務。 下載SpyHunter的免費惡意軟件清除器
請註意:SpyHunter的掃描儀用於惡意軟件檢測。如果SpyHunter在您的PC上檢測到惡意軟件,則需要購買SpyHunter的惡意軟件清除工具以清除惡意軟件威脅。查看更多關於SpyHunter的信息。免費的清除器可以使您可以進行壹次性掃描,並在48小時等待時間內接受壹次修復和清除。免費的清除器,需遵循促銷詳細信息和特殊促銷條款。要了解我們的政策,還請查看我們的最終用戶許可協議隱私政策威脅評估標準。如果您不再希望在計算機上安裝SpyHunter,請參考這些步驟卸載SpyHunter

技術信息

文件系統詳情

Sodinokibi病毒創建以下文件:
# 文件名 大小 MD5 檢測計數
1 C:\Users\SSW08\Desktop\celfa_.exe 890,880 9dbb65b1a435a2b3fb6a6e1e08efb2d0 11

網站免責聲明

Enigmasoftware.com與本文中提到的惡意軟件創建者或分銷商沒有任何關聯、贊助或附屬關系。本文不應被理解為與惡意軟件的宣傳或認可。我們的目的是提供信息,讓用戶根據本文中的Spyhunter手動清理說明來檢測並清理計算機上的惡意軟件。

本文“按原樣”提供,僅用於教育信息目的。通過遵循本文的任何說明,即表示您同意受免責聲明的約束。 我們不保證本文將幫助您徹底刪除PC上的惡意軟件威脅。 間諜軟件定期更改; 因此,很難通過手動方式完全清潔受感染的機器。

發表評論

請不要將此評論系統用於支持或結算問題。 若要獲取SpyHunter技術支持,請通過SpyHunter打開技術支持問題直接聯繫我們的技術團隊。 有關結算問題,請參考“結算問題?”頁面。 有關一般查詢(投訴、法律、媒體、營銷、版權),請訪問我們的“查詢和反饋”頁面。