• 安全分析与研究:专注于全球最新的恶意样本的分析与研究,深度追踪与解析恶意样本背后的黑色产业链
  • 安全分析与研究:关注全球最新的安全攻击技术,及时提供全球最新最有价值的威胁情报信息

Sodinokibi勒索病毒,勒索赎金最高达1200万美元

勒索病毒 pandazhengzheng 9个月前 (12-30) 831次浏览 0个评论 扫描二维码

2019年6月1日,GandCrab勒索病毒运营团队宣布停止运营之后,Sodinokibi勒索病毒马上接管了GandCrab的传播渠道,Sodinokibi应该是2019年下半年全球传播最广最活跃的勒索病毒之一,同时它也被称为是GandCrab的“接班人”,两者之间有着密不可分的联系,国内外多家安全公司都曾分析过这款勒索病毒与GandCrab的关系,笔者也曾多次写过相应的分析报告,国内第一篇关于Sodinokibi勒索病毒的分析报告应该也是笔者写的,笔者一直在追踪此勒索病毒,最近又捕获到一例Sodinokibi勒索病毒,其勒索赎金最高达1200万美元之多

 

捕获到的Sodinokibi(REvil)勒索病毒样本,仿冒Adobe® Flash® Player 32.0 r0程序,如下所示:

程序相关信息,如下所示:

勒索病毒加密后的文件,如下所示:

桌面背景被修改,如下所示:

勒索提示信息文件,内容如下所示:

勒索解密网站信息,如下所示:

勒索赎金为835.38641147个BTC(按现在的市价,相当于600万美元),超过2天,勒索赎金翻倍为1,670.77282294个BTC(按现在的市价,相当于1200万美元),此样本可以说是笔者发现的Sodinokibi勒索病毒最高赎金的样本,勒索病毒的核心代码采用了一种新的加载方式,详细分析如下

对此样本中Sodinokibi勒索病毒核心代码的加载方式进行详细分析,动态调试此样本,会释放一个恶意的System.dll到临时目录下,如下所示:

然后调用System.dll的Call导出函数,如上所示:

分配内存空间,如下所示:

将加密过的Sodinokibi勒索病毒的核心代码存储到刚分配的内存中,如下所示:

最后解密出Sodinokibi勒索病毒的核心代码,在内存中执行,如下所示:

将Sodinokibi勒索病毒的核心代码DUMP下来,如下所示:

关于Sodinokibi勒索核心代码的分析可以参考其他文章,笔者这里主要研究了它核心代码的加载方式

预测勒索病毒攻击在明年可能会越来越多,而且使用的攻击手法会越来越复杂,攻击也会越来越具有针对性和目的性,不排除未来会有更多的新型黑客组织或者成熟的黑客组织加入进来,通过勒索病毒与其他恶意程序相结合的方式最大限度地获取暴利,各企业要做好相应的防范措施,提高自身员工的安全意识,以防中招

最后欢迎大家关注此微信公众号,专注于全球最新的恶意样本的分析与研究,深度追踪与解析恶意样本背后的黑色产业链,关注全球最新的安全攻击技术,及时提供全球最新最有价值的威胁情报信息,笔者有空休息的时候会不定期分享

如果对恶意样本分析技术感兴趣,可以加入知识星球进行学习,加入星球的朋友可以加入《安全分析与研究》专业群,与群里的各位安全研究员一起交流,讨论,研究各种安全技术,让你在学习成长的路上多一个伙伴,共同学习,共同成长

安全的路还很长,贵在坚持,做安全的要少熬夜,注意身体……


安全分析与研究, 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:Sodinokibi勒索病毒,勒索赎金最高达1200万美元
喜欢 (3)

您必须 登录 才能发表评论!