• 安全分析与研究:专注于全球最新的恶意样本的分析与研究,深度追踪与解析恶意样本背后的黑色产业链
  • 安全分析与研究:关注全球最新的安全攻击技术,及时提供全球最新最有价值的威胁情报信息

放假期间,发现两例Sodinokibi最新变种

勒索病毒 pandazhengzheng 6个月前 (01-23) 409次浏览 0个评论 扫描二维码

2019年6月1日,GandCrab勒索病毒运营团队宣布停止运营之后,Sodinokibi勒索病毒马上接管了GandCrab的传播渠道,Sodinokibi应该是2019年下半年全球传播最广最活跃的勒索病毒之一,同时它也被称为是GandCrab的“接班人”,两者之间有着密不可分的联系,国内外多家安全公司都曾分析过这款勒索病毒与GandCrab的关系,笔者也曾多次写过相应的分析报告,国内第一篇关于Sodinokibi勒索病毒的分析报告应该也是笔者写的,笔者一直在追踪此勒索病毒,最近几天又连续收到多例朋友咨询Sodinokibi勒索病毒的最新变种的案例

1月16日,笔者接到朋友求助,服务器被加密,提供了相关的勒索提示信息,如下所示:

勒索提示信息文件名为:[随机数字字母]- HOW TO BACK YOUR FILES GL-IM.txt,访问勒索解密网站,如下所示:

1月19日,1月20日又有多个朋友通过微信找到我,发现都是被Sodinokibi勒索病毒加密勒索,今天又发现了一例Sodinokibi的勒索病毒,勒索提示文件再次发现了变化,这款勒索病毒在12月20日左右,发现其更新了一个版本,从获取的样本得到的PDB信息为D:\Coding\!av\BTDF\17с\bin\Debug\rwenc_exe_x86_debug.pdb,估计是为免杀处理进行了版本更新

Sodinokibi勒索病毒最新的变种,生成的勒索提示信息文件名与之前不一样

旧Sodinokibi勒索病毒:[随机数字字母]-readme.txt

新发现的两例Sodinokibi勒索病毒:

[随机数字字母]- HOW TO BACK YOUR FILES GL-IM.txt

How to decrypt [随机数字字母]-readme.txt

由于暂时没有捕获到相关的病毒样本,具体变种情况不明,笔者会持续跟踪

重点:Sodinokibi勒索病毒暂时没有公开的解密工具,请大家提高安全意识,注意防范!

 

最后欢迎大家关注微信公众号:安全分析与研究,专注于全球最新的恶意样本的分析与研究,深度追踪与解析恶意样本背后的黑色产业链,关注全球最新的安全攻击技术,及时提供全球最新最有价值的威胁情报信息,笔者有空休息的时候会不定期分享

想解锁更多安全分析与研究的各种姿势,可以加入知识星球进行学习,加入星球的朋友可以加入《安全分析与研究》专业群,与群里的各位安全研究员一起交流,讨论,研究各种安全技术,让你在学习成长的路上多一个伙伴,共同学习,共同成长

安全的路还很长,贵在坚持,做安全的要少熬夜,注意身体……


安全分析与研究, 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:放假期间,发现两例Sodinokibi最新变种
喜欢 (2)

您必须 登录 才能发表评论!