13

警惕SODINOKIBI勒索病毒再变种，勒索巨额赎金

4 years ago

source link: https://www.freebuf.com/articles/terminal/221845.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

neoserver,ios ssh client

近日，亚信安全截获SODINOKIBI勒索病毒最新变种文件，与以往不同的是，本次截获的勒索病毒的payload是一个DLL文件（以往样本是EXE可执行文件），通过进程注入方式加载，从而逃避检测。其首先通过.net外壳程序启动一个正常的 vbc.exe进程，然后将勒索模块注入到该进程中，最后加载执行数据加密。另外一个值得注意的是，本次勒索病毒的勒索赎金最高达4万美金。亚信安全将该勒索病毒命名为Ransom.MSIL.SODINOKIBI.A。

病毒详细分析

外壳程序分析

该样本是由.Net编写，并且进行了混淆处理。样本信息如下图所示：

YraiUfE.jpg!web iAvuauv.jpg!web

去除相关混淆后，我们可以清楚地看到具体程序流程，其首先使用base64解密数据到数组中，通过动态调试可知，解密后的数据就是核心勒索payload DLL（我们dump出为payload.dll），用于后续的进程注入：

e6j2UvV.jpg!web z2q6j2e.jpg!web 2iy6rqU.jpg!web

然后启动Windows的正常进程vbc.exe：

imY3Uvn.jpg!web QJNjUnQ.jpg!web B7baa23.jpg!web

通过进程内存修改和恢复线程的方式进行注入操作：

7vi67jF.jpg!web Bz6Nre2.jpg!web

进程注入操作用到的库函数列表：

eYRnMf2.jpg!web

payload.dll文件分析

此文件是勒索病毒主体文件，与以往SODINOKIB勒索样本基本类似，需要在内存中解密出核心加密主程序，然后跳转至入口执行：

aAV7zia.jpg!web

加密后的文件后缀名为.gt0w210：

JfUvqur.jpg!web

勒索提示信息文件：

BFBNZfZ.jpg!web

修改桌面背景图片：

AVNVRjA.jpg!web

Recommend

About Joyk

Aggregate valuable and interesting links.
Joyk means Joy of geeK