查看原文
其他

Sodinokibi勒索病毒,勒索赎金最高达1200万美元

pandazhengzheng 安全分析与研究 2022-07-03

点击蓝字关注我们


2019年6月1日,GandCrab勒索病毒运营团队宣布停止运营之后,Sodinokibi勒索病毒马上接管了GandCrab的传播渠道,Sodinokibi应该是2019年下半年全球传播最广最活跃的勒索病毒之一,同时它也被称为是GandCrab的“接班人”,两者之间有着密不可分的联系,国内外多家安全公司都曾分析过这款勒索病毒与GandCrab的关系,笔者也曾多次写过相应的分析报告,国内第一篇关于Sodinokibi勒索病毒的分析报告应该也是笔者写的,笔者一直在追踪此勒索病毒,最近又捕获到一例Sodinokibi勒索病毒,其勒索赎金最高达1200万美元之多


捕获到的Sodinokibi(REvil)勒索病毒样本,仿冒Adobe® Flash® Player 32.0 r0程序,如下所示:

程序相关信息,如下所示:


此勒索病毒加密后的文件,如下所示:

桌面背景被修改,如下所示:

勒索提示信息文件,内容如下所示:

勒索解密网站信息,如下所示:

勒索赎金为835.38641147个BTC(按现在的市价,相当于600万美元),超过2天,勒索赎金翻倍为1,670.77282294个BTC(按现在的市价,相当于1200万美元),此样本可以说是笔者发现的Sodinokibi勒索病毒最高赎金的样本,勒索病毒的核心代码采用了一种新的加载方式,详细分析如下

对此样本中Sodinokibi勒索病毒核心代码的加载方式进行详细分析,动态调试此样本,会释放一个恶意的System.dll到临时目录下,如下所示:

然后调用System.dll的Call导出函数,如上所示:

分配内存空间,如下所示:

将加密过的Sodinokibi勒索病毒的核心代码存储到刚分配的内存中,如下所示:

最后解密出Sodinokibi勒索病毒的核心代码,在内存中执行,如下所示:

将Sodinokibi勒索病毒的核心代码DUMP下来,如下所示:

关于Sodinokibi勒索核心代码的分析可以参考其他文章,笔者这里主要研究了它核心代码的加载方式


预测勒索病毒攻击在明年可能会越来越多,而且使用的攻击手法会越来越复杂,攻击也会越来越具有针对性和目的性,不排除未来会有更多的新型黑客组织或者成熟的黑客组织加入进来,通过勒索病毒与其他恶意程序相结合的方式最大限度地获取暴利,各企业要做好相应的防范措施,提高自身员工的安全意识,以防中招


最后欢迎大家关注此微信公众号,专注于全球最新的恶意样本的分析与研究,深度追踪与解析恶意样本背后的黑色产业链,关注全球最新的安全攻击技术,及时提供全球最新最有价值的威胁情报信息,笔者有空休息的时候会不定期分享


往期精彩回顾
勒索病毒攻击新玩法,先盗数据再勒索

如果对恶意样本分析技术感兴趣,可以加入知识星球进行学习加入星球的朋友可以加入《安全分析与研究》专业群,与群里的各位安全研究员一起交流,讨论,研究各种安全技术,让你在学习成长的路上多一个伙伴,共同学习,共同成长

加入知识星球,安全的路上,我们一路前行

长按识别二维码加入星球

安全的路还很长,贵在坚持,做安全的要少熬夜,注意身体......



觉得内容还不错的话,给我点个“在看”呗

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存