Sodinokibi勒索軟件希望通過利用Windows 7到10和Server版本中存在的Win32k組件中的漏洞來增加其在受害計(jì)算機(jī)上的權(quán)限��。
4月開始利用Oracle WebLogic中的關(guān)鍵漏洞時(shí),文件加密惡意軟件成為人們關(guān)注的焦點(diǎn)���。
全球傳播
Sodinokibi����,a.k.a.REvil也利用CVE-2018-8453��,安全研究人員發(fā)現(xiàn)�,卡巴斯基發(fā)現(xiàn)并報(bào)告了一個(gè)漏洞,微軟于2018年10月修補(bǔ)了該漏洞����。
卡巴斯基使用Sodin這個(gè)名稱來指代這種勒索軟件和遙測(cè)數(shù)據(jù)顯示全球小區(qū)域的檢測(cè),其中大部分記錄在亞太地區(qū):臺(tái)灣(17.56%)�����,香港和韓國(8.78%))����。
檢測(cè)到Sodinokibi的其他國家是日本(8.05%)���,德國(8.05%)����,意大利(5.12%),西班牙(4.88%)�,越南(2.93),美國(2.44%)和馬來西亞(2.20%)�。
在周三的技術(shù)分析中,卡巴斯基詳細(xì)介紹了惡意軟件如何實(shí)現(xiàn)SYSTEM權(quán)限并描述其運(yùn)行方式����。
“在每個(gè)Sodin示例的主體中以加密形式存儲(chǔ)的是一個(gè)配置塊,其中包含特洛伊木馬工作所需的設(shè)置和數(shù)據(jù)�����!
配置代碼包括公鑰的字段����,活動(dòng)和分發(fā)者的ID號(hào)���,覆蓋數(shù)據(jù)����,不應(yīng)加密的文件擴(kuò)展名,應(yīng)該殺死的進(jìn)程名稱����,命令和控制服務(wù)器地址,勒索注釋模板和 一個(gè)用于使用漏洞獲取機(jī)器上的更高權(quán)限�。
私鑰的兩個(gè)單獨(dú)加密
卡巴斯基分析的Sodinokibi樣本使用混合方案來加密數(shù)據(jù),這意味著它對(duì)文件應(yīng)用對(duì)稱加密(Salsa20)�����,對(duì)密鑰應(yīng)用橢圓曲線非對(duì)稱加密��。
研究人員發(fā)現(xiàn)��,勒索軟件在注冊(cè)表中存儲(chǔ)了加密數(shù)據(jù)的公鑰和用于解密文件的私鑰����。
“啟動(dòng)時(shí),特洛伊木馬生成一對(duì)新的橢圓曲線會(huì)話密鑰;該對(duì)的公鑰以名稱pk_key保存在注冊(cè)表中����,而私鑰使用ECIES算法使用sub_key密鑰加密并存儲(chǔ)在 名稱為sk_key的注冊(cè)表���!
研究人員注意到的一個(gè)特點(diǎn)是私鑰也用第二個(gè)公鑰加密��,該公鑰在惡意軟件中編碼; 結(jié)果也保存在注冊(cè)表中��。
惡意軟件作者可能是故意這樣做的����,因此他們也可以解密數(shù)據(jù)���,而不僅僅是傳播Sodinokibi的運(yùn)營商�����。 如果經(jīng)銷商消失���,或者是獲得更大利潤(rùn)的方法,這可能是一種預(yù)防措施����。
加密文件后,Sodinokibi會(huì)為它感染的每臺(tái)計(jì)算機(jī)附加一個(gè)不同的隨機(jī)擴(kuò)展名�����。 密鑰和擴(kuò)展都需要在網(wǎng)絡(luò)犯罪分子設(shè)置的網(wǎng)站上輸入��,專門用于向受害者展示他們?yōu)榱双@取文件需要支付多少費(fèi)用。
惡意軟件區(qū)分目標(biāo)并在具有特定國家特定鍵盤布局的計(jì)算機(jī)上終止:俄羅斯���,烏克蘭�,白俄羅斯����,塔吉克斯坦,亞美尼亞����,阿塞拜疆,格魯吉亞��,哈薩克斯坦����,吉爾吉斯斯坦,土庫曼斯坦����,摩爾多瓦,烏茲別克斯坦和敘利亞�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
