新年之際,Sodinokibi勒索病毒利用NSIS再造變種

2020-01-01 15633人圍觀 ,發現 1 個不明物體 終端安全

時間總是過得飛快,圣誕節已悄悄溜走,我們即將迎來新年。2020年將要開啟21世紀新的十年 – 2020年代。節日里在人們充滿歡聲笑語的同時,往往計算機病毒的活躍度也會隨之上升。回顧2019年, 勒索病毒和挖礦病毒更是牢牢占據在計算機流行病毒榜首,俠盜Gandcrab、GlobeImposter以及Sodinokibi等比較知名的勒索病毒,他們在這一年里不僅頻繁更新,還不斷地開創新的傳播方式。

近期,亞信安全監測到多個勒索病毒異常活躍,這其中就包括知名的Sodinokibi勒索病毒,本次截獲的Sodinokibi勒索病毒利用Windows安裝程序制作工具NSIS(Nullsoft Scriptable Install System)進行打包,然后偽裝成Adobe Flash安裝包進行傳播。NSIS(Nullsoft Scriptable Install System)是一個開源的 Windows 系統下安裝程序制作程序。它提供了安裝、卸載、系統設置、文件解壓縮等功能。如其名字所指出的那樣,NSIS 是通過它的腳本語言來描述安裝程序的行為和邏輯的。NSIS中的System插件是其中比較知名的插件,它可以提供開發人員分配,釋放和復制內存,能夠從任何DLL調用任何導出的函數,與COM對象進行交互,并對64位整數執行數學運算等操作。

由于Sodinokibi勒索病毒更新時間是在圣誕節和元旦到來之際,勒索通知信也變得具有“節日氣氛”,亞信安全將其命名為Ransom.Win32.SODINOKIBI.AUWTZ。

Sodinokibi勒索病毒最早出現在2019年4月份,早期版本使用Web服務相關漏洞傳播,后來發現該勒索病毒通過垃圾郵件附件傳播。不僅傳播方式發生變化,其使用的外殼保護技術也在不斷更新和變換,我們對此進行了梳理。亞信安全也將會持續關注該勒索病毒的動態和發展。

事件時間 外殼技術 傳播方式 亞信安全檢測名
20194 PE加殼解密 Web服務漏洞 早期版本 TROJ_FR.620727BA
2019821 混淆的JS腳本 垃圾郵件 TROJ_FRS.0NA103H619
2019823 PowerShell腳本 以無文件的方式在內網擴散 Ransom.Win32.SODINOKIBI.AUWT
20191028 內存動態解密 垃圾郵件(附件偽裝成Excel文檔) Ransom.Win32.SODINOKIBI.AUWTS
20191128 反調試 內存動態解密 垃圾郵件(附件偽裝成Word文檔) Ransom.Win32.SODINOKIBI.AUWTR
2019123 .NET進程注入 垃圾郵件(附件偽裝成PDF文件) Ransom.MSIL.SODINOKIBI.A
20191226 NSIS軟件打包 垃圾郵件(附件偽裝成Adoble Flash安裝文件) Ransom.Win32.SODINOKIBI.AUWTZ

病毒詳細分析

該病毒利用Windows安裝程序制作工具NSIS(Nullsoft Scriptable Install System)進行打包,然后偽裝成Adobe Flash安裝包進行傳播:

其使用NSIS軟件打包,提取后的文件包括NSIS插件文件system.dll以及加密的病毒主體文件416352975:

打包該勒索樣本的NSIS腳本如下:

將腳本整理后,我們發現其主要的功能是將加密的勒索病毒主體文件416352975映射到內存空間,在內存里進行解密然后執行:

要獲取解密后的勒索payload需要進行動態調試,從內存dump。首先在分配的內存中解密相關數據:

解密后的數據如下:

然后進行整合,創建進程執行:

解密后的文件就是Sodinokibi勒索病毒主體payload文件,具有此勒索的典型入口:

此勒索病毒加密后的文件后綴名為隨機文件名:

勒索提示信息文件j37k8zju-readme.txt,內容如下所示:

加密文件之后會修改桌面背景圖片,如下所示:

解決方案

不要點擊來源不明的郵件以及附件;

不要點擊來源不明的郵件中包含的鏈接;

采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼;

打開系統自動更新,并檢測更新進行安裝;

盡量關閉不必要的文件共享;

請注意備份重要文檔。備份的最佳做法是采取3-2-1規則,即至少做三個副本,用兩種不同格式保存,并將副本放在異地存儲。

IOC

文件SHA-1 文件名稱 亞信安全檢測名
6d6d889655fb9c64ddfb****51261e99 Adobe? Flash? Player 32.0 Ransom.Win32.SODINOKIBI.AUWTZ

*本文作者:亞信安全,轉載請注明來自FreeBuf.COM

相關推薦
發表評論

已有 1 條評論

取消
Loading...

特別推薦

推薦關注

官方公眾號

聚焦企業安全

活動預告

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 微信上那些说赚钱是真的吗