Sodinoki樣本分析報告

2019-06-26 15:52

樣本資訊
樣本名稱： Sodinoki
樣本家族： Sodinoki
樣本類型：勒索
MD 5 ： 12befdd8032a552e603fabc5d37bda35
e08d8c6d2914952c25df1cd0da66131b
SHA1： 04a12c70de87894d189be572718a9b781e192a90
96b93642444f087fc299bde75a82aef40d716eb7
文件類型： email, exe
文件大小： 456145 bytes, 280576 bytes
傳播途徑：郵件附件 
專殺工具：暫無
影響系統： Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 10等64位元作業系統。
發現時間： 2019.6.13
C 2 服務器：暫無

樣本概況
此次攻擊疑似針對國內游戲測評公司任玩堂（http://www.appgame.com/），郵件偽裝成DHL貨物交付延遲通知，獲取受害者信任並誘使打開。
附件為壓縮包，內含四個文件，可執行文件的屬性設置為隱藏，因此正常用戶在默認設置情況下是無法看到可執行程序的存在，只能看到兩個快捷方式。在設置顯示隱藏文件後能看到所有的相關文件。

樣本危害
該病毒會惡意加密文件並勒索用戶交付贖金但不提供解密方法，如果中了此病毒將會導致文件無法還原和使用進而造成用戶經濟、財產的損失。

手工清除方法
無

應對措施及建議
1). .盡量關閉不必要的端口，如445、135，139等，對3389、5900等端口可進行白名單配置，只允許白名單內的IP連接登陸。
2).採用高強度的密碼，避免使用弱口令密碼，並定期更換密碼。
3).安裝防毒殺毒軟件並將病毒庫升級為最新版本，並定期對計算機進行全盤掃描。
4).安裝江民赤豹端點全息系統，一鍵恢復操作系統至加密前任何時間結點，無懼勒索。
5).對重要文件應及時備份，如果不幸中了勒索病毒，不要輕易支付贖金，因為很多勒索病毒其實並不提供解密功能，支付贖金只會造成更大的經濟損失。
6).不要隨意打開執行來路不明的文件。
7).不要從不可靠的渠道下載軟件，因為這些軟件很可能是帶有病毒的。

登錄檔(註冊表)行為
寫入HKEY_LOCAL_MACHINE\SOFTWARE\recfg
 
 
詳細分析報告
偽裝成Office Word的病毒樣本首先解密一段ShellCode，並跳轉執行該ShellCode：。
 

ShellCode主要功能為解密核心PayLoad並跳轉執行：

核心PayLoad為sodinokibi勒索病毒，動態解密修正137處IAT：

緊接著創建互斥，保證只有一個實例運行：

之後解密配置信息，解密函數如下：

解密的配置信息包括公鑰、白名單目錄、白名單文件、白名單後綴、域名、要結束的進程等信息：

然後將公鑰、加密後的後綴等信息保存到註冊表HKEY_LOCAL_MACHINE\SOFTWARE\recfg：

並通過GetKeyboardLayoutList獲取鍵盤佈局信息，當遇到下列語言環境時則不進行文件加密：

判斷當前進程是否存在配置文件中需要結束的進程，若有則結束該進程

並通過執行CMD命令刪除卷影文件防止用戶恢復被加密的文件：

並在每個目錄下生成勒索相關信息：

最終加密除白名單配置以外的所有文件，將加密後的文件設置為之前保存在註冊表中的隨機後綴：

最後嘗試連接配置文件中的域名，發送受害者計算機 基本信息：

 
總結
由於Sodinokibi會通過電子郵件傳播，我們建議您不要打開任何未知來源的電子郵件，尤其是不要打開附件。即使附件來自常用聯繫人，我們也建議您在打開之前，使用殺毒軟件對其進行掃描，以確保它不包含任何惡意文檔或文件。。