偽裝成 Office 文檔的 sodinokibi 勒索病毒大量攻擊中韓企業

發布時間:2019-10-25

一、背景


近期騰訊安全御見威脅情報中心檢測到大量借助釣魚郵件傳播的sodinokibi勒索病毒攻擊中韓兩國企業。中招用戶被勒索0.15個比特幣(市值7800元人民幣),中招企業主要集中在廣東、山東、江蘇、上海、北京等地,主要受害企業包括IT公司、科研和技術服務機構,以及傳統制造企業。


釣魚郵件偽裝成以“償還債務”、“支付匯款建議”為主題,并在附件中添加包含勒索病毒的壓縮文件,中文版為“您的賬號.zip”、韓文版為“?? 10.2019.zip”,解壓后分別為“付款發票.xls.exe”、“10 ? ??.xls.exe”,都是偽裝成表格文件的sodinokibi勒索病毒。從釣魚郵件內容格式、主題和投遞的樣本類型來看,此次針對中國和韓國的攻擊為同一來源。


sodinokibi勒索病毒出現于2019年4月底,早期使用web服務相關漏洞傳播。病毒主要特點為對使用到的大量字串使用RC4算法進行加密,使用RSA+salsa20的方式配合IOCP完成端口模型進行文件的加密流程,加密后修改桌面背景為深藍色并創建勒索文本<random>-readme.txt,被該病毒加密破壞的文件暫時無法解密。


騰訊安全專家提醒用戶務必小心處理來歷不明的郵件,推薦修改系統默認的文件查看方式,選擇查看已知文件類型的擴展名,就可以簡單識別那些偽裝成doc、xls文檔圖標的危險程序。目前,騰訊電腦管家和騰訊御點均可查殺該勒索病毒。




根據騰訊安全御見威脅情報中心數據,在一天之內攻擊者使用偽造的近1000個郵箱地址針對國內目標發送超過5萬封釣魚郵件,此次郵件傳播的Sodinokibi勒索病毒在國內的感染地區分布如下圖所示,受害最嚴重地區為廣東、山東、江蘇、上海、北京等地。




此次Sodinokibi勒索病毒影響行業分布如下,受害最嚴重的包括IT行業、科研和技術服務行業以及制造業等。




二、釣魚郵件

攻擊中國的郵件樣本




攻擊者偽裝成digis.net公司的人員Min Zhu Li作為發件人,郵件標題為“你需要償還的債務”,附件文件為“您的賬號.zip”,郵件內容是非正常顯示的中文字符,最后一行為“財務選擇”。


該附件壓縮包解壓后為偽裝成xlsx文件的exe可執行程序“付款發票.xls.exe”,一旦誤判為電子表格雙擊便會運行Sodinokibi勒索病毒。




郵箱附件文件名為 “發票10.2019(譯文)”,解壓后是偽裝成xls文件的PE程序“10 ? ??.xls.exe”,一旦雙擊便會運行Sodinokibi勒索病毒。




三、Sodinokibi勒索病毒


Sodinokibi(付款發票.xls.exe)運行后首先創建互斥體 “Global\AC00ECAF-B4E1-14EB-774F-B291190B3B2B”,以保證具有唯一實例。

四、安全建議


企業用戶針對該病毒的重點防御措施


1.該病毒主要通過垃圾郵件傳播,需要企業用戶小心處理電子郵件,打開文件夾選項中的“查看已知類型的擴展名”,若發現使用Office關聯圖標,又是含exe的多重擴展名,就表明風險極高,建議不要打開。


2. 對重要文件和數據(數據庫等數據)進行定期非本地備份,普通終端電腦可以使用騰訊御點終端管理系統及騰訊電腦管家內置的文檔守護者備份數據。


企業用戶通用的防病毒措施


1、盡量關閉不必要的端口,如:445、135,139等,對3389,5900等端口可進行白名單配置,只允許白名單內的IP連接登陸;


2、盡量關閉不必要的文件共享,如有需要,請使用ACL和強密碼保護來限制訪問權限,禁用對共享文件夾的匿名訪問;


3、采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼。建議服務器密碼使用高強度且無規律密碼,并且強制要求每個服務器使用不同密碼管理;


4、對沒有互聯需求的服務器/工作站內部訪問設置相應控制,避免可連外網服務器被攻擊后作為跳板進一步攻擊其他服務器;


5、教育終端用戶謹慎下載陌生郵件附件,若非必要,應禁止啟用Office宏代碼;


中安威士:保護核心數據,捍衛網絡安全!

來源:華盟網






上一條:美國國土安全部門及 FBI 發布警告 提醒企業防范惡意腳本注入 下一條:Adobe暴露了750萬在線的Creative Cloud用戶記錄
江苏快3 - 一定牛