安全研究 >> 安全研究详情

注意!Sodinokibi 勒索病毒扩散预警

作者: 美创科技安全实验室发布日期: 05月13日

  概    况  


近日,美创安全实验室根据勒索病毒威胁情报,发现一款最新的勒索病毒(Sodinokibi)正在通过Oralce Weblogic Server中的反序列化漏洞(CVE-2019-2725)传播,该漏洞最先由国家应急响应中心通报并预警,漏洞编号(CNVD-C-2019-48814)。关于该漏洞防护可参考美创实验室之前的预警内容:Weblogic 反序列化漏洞预警及解决方案


  病毒情况  


美创安全实验室第一时间拿到相关病毒样本,经 virustotal 检测,确认为 Sodinokibi 勒索病毒。


该病毒执行后,除了加密文件外,同时会进行删除源文件、修改系统配置、删除卷影副本、增加后缀名为随机字母数字共7位等多种恶意行为,并在桌面上留下勒索信息文档,提示受害者如何缴纳赎金获取解密工具。


  病毒加密情况复现  


执行病毒文件 radm.exe。CPU 迅速飙升至100%开始加密数据。


几分钟后,桌面出现 xxxxxxx-readme.txt 勒索信息文档。


除系统目录外,大部分数据均被加密,目前暂无法解密。


以下为测试数据(office常用文档),同样被加密。


  防护措施  


根据该勒索病毒的传播方式,您可以通过以下方式防护该病毒,以尽可能避免损失:


  1. 更新Weblogic并安装相关安全补丁【CVE-2019-2725】


  2. 3389远程桌面加强密码复杂度,推荐数字+字母+特殊字符12位以上


  3. 对重要数据进行定时备份


以上为防护勒索病毒的常规方式,为了更好的应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对Sodinokibi勒索病毒的防护效果。


美创诺亚防勒索为C-S架构,可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。


在test目录下,添加以下文件,从病毒情况复现可知,在无诺亚情况下,该文件被加密无法正常打开。


双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索提出警告并拦截该行为。


在拦截危险操作后,诺亚提示恶意病毒告警,默认将该病毒移入隔离区。


查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。


为保护系统全部文件,可一键开启堡垒模式防止任何新增可执行文件的执行,实现诺亚防勒索的最强防护模式。


运行在堡垒模式下,执行 rdam.exe,立刻被移除到隔离区,因此可阻止任何未知勒索病毒的执行。





想体验美创诺亚防勒索?

赶紧动起来,提交测试申请吧!


服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备 09009762号-1