样本信息

样本名称：Sodinoki

样本家族：Sodinoki

样本类型：勒索

MD5：12befdd8032a552e603fabc5d37bda35

e08d8c6d2914952c25df1cd0da66131b

SHA1：04a12c70de87894d189be572718a9b781e192a90

96b93642444f087fc299bde75a82aef40d716eb7

文件类型：email, exe

文件大小：456145 bytes, 280576 bytes

传播途径：邮件附件

专杀信息：暂无

影响系统：Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 10等64位操作系统。

样本来源：

发现时间：2019.6.13

入库时间：

C2服务器：暂无

样本概况

此次攻击疑似针对国内游戏测评公司任玩堂（www.appgame.com），邮件伪装成DHL货物交付延迟通知，获取受害者信任并诱使打开。

附件为压缩包，内含四个文件，可执行文件的属性设置为隐藏，因此正常用户在默认设置情况下是无法看到可执行程序的存在，只能看到两个快捷方式。在设置显示隐藏文件后能看到所有的相关文件。

样本危害

该病毒会恶意加密文件并勒索用户交付赎金但不提供解密方法，如果中了此病毒将会导致文件无法还原和使用进而造成用户经济、财产的损失。

手工清除方法

无

应对措施及建议

1). .尽量关闭不必要的端口，如 445、135，139 等，对 3389、5900 等端口可进行白名单配置，只允许白名单内的 IP 连接登陆。

2). 采用高强度的密码，避免使用弱口令密码，并定期更换密码。

3). 安装防毒杀毒软件并将病毒库升级为最新版本，并定期对计算机进行全盘扫描。

4). 安装江民赤豹端点全息系统，一键恢复操作系统至加密前任何时间结点，无惧勒索。

5). 对重要文件应及时备份，如果不幸中了勒索病毒，不要轻易支付赎金，因为很多勒索病毒其实并不提供解密功能，支付赎金只会造成更大的经济损失。

6). 不要随意打开执行来路不明的文件。

7). 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

行为概述

文件行为

进程行为

暂无

注册表行为

写入 HKEY_LOCAL_MACHINE\\SOFTWARE\\recfg

网络行为

暂无

详细分析报告

伪装成Office Word的病毒样本首先解密一段ShellCode，并跳转执行该ShellCode：。

ShellCode主要功能为解密核心PayLoad并跳转执行：

核心PayLoad为sodinokibi勒索病毒，动态解密修正137处IAT：

紧接着创建互斥，保证只有一个实例运行：

之后解密配置信息，解密函数如下：

解密的配置信息包括公钥、白名单目录、白名单文件、白名单后缀、域名、要结束的进程等信息：

然后将公钥、加密后的后缀等信息保存到注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\recfg：

并通过GetKeyboardLayoutList获取键盘布局信息，当遇到下列语言环境时则不进行文件加密：

判断当前进程是否存在配置文件中需要结束的进程，若有则结束该进程

并通过执行CMD命令删除卷影文件防止用户恢复被加密的文件：

并在每个目录下生成勒索相关信息：

最终加密除白名单配置以外的所有文件，将加密后的文件设置为之前保存在注册表中的随机后缀：

最后尝试连接配置文件中的域名，发送受害者计算机基本信息：

总结

由于Sodinokibi会通过电子邮件传播，我们建议您不要打开任何未知来源的电子邮件，尤其是不要打开附件。即使附件来自常用联系人，我们也建议您在打开之前，使用杀毒软件对其进行扫描，以确保它不包含任何恶意文档或文件。。

附录

Hash

C&C