信息來源：FreeBuf

時(shí)間總是過得飛快，圣誕節(jié)已悄悄溜走，我們即將迎來新年。2020年將要開啟21世紀(jì)新的十年 – 2020年代。節(jié)日里在人們充滿歡聲笑語的同時(shí)，往往計(jì)算機(jī)病毒的活躍度也會(huì)隨之上升?；仡?019年, 勒索病毒和挖礦病毒更是牢牢占據(jù)在計(jì)算機(jī)流行病毒榜首，俠盜Gandcrab、GlobeImposter以及Sodinokibi等比較知名的勒索病毒，他們?cè)谶@一年里不僅頻繁更新，還不斷地開創(chuàng)新的傳播方式。

近期，研究人員監(jiān)測(cè)到多個(gè)勒索病毒異?；钴S，這其中就包括知名的Sodinokibi勒索病毒，本次截獲的Sodinokibi勒索病毒利用Windows安裝程序制作工具NSIS（Nullsoft Scriptable Install System）進(jìn)行打包，然后偽裝成Adobe Flash安裝包進(jìn)行傳播。NSIS（Nullsoft Scriptable Install System）是一個(gè)開源的 Windows 系統(tǒng)下安裝程序制作程序。它提供了安裝、卸載、系統(tǒng)設(shè)置、文件解壓縮等功能。如其名字所指出的那樣，NSIS 是通過它的腳本語言來描述安裝程序的行為和邏輯的。NSIS中的System插件是其中比較知名的插件，它可以提供開發(fā)人員分配，釋放和復(fù)制內(nèi)存，能夠從任何DLL調(diào)用任何導(dǎo)出的函數(shù)，與COM對(duì)象進(jìn)行交互，并對(duì)64位整數(shù)執(zhí)行數(shù)學(xué)運(yùn)算等操作。

由于Sodinokibi勒索病毒更新時(shí)間是在圣誕節(jié)和元旦到來之際，勒索通知信也變得具有“節(jié)日氣氛”。

Sodinokibi勒索病毒最早出現(xiàn)在2019年4月份，早期版本使用Web服務(wù)相關(guān)漏洞傳播，后來發(fā)現(xiàn)該勒索病毒通過垃圾郵件附件傳播。不僅傳播方式發(fā)生變化，其使用的外殼保護(hù)技術(shù)也在不斷更新和變換，我們對(duì)此進(jìn)行了梳理。亞信安全也將會(huì)持續(xù)關(guān)注該勒索病毒的動(dòng)態(tài)和發(fā)展。

病毒詳細(xì)分析

該病毒利用Windows安裝程序制作工具NSIS（Nullsoft Scriptable Install System）進(jìn)行打包，然后偽裝成Adobe Flash安裝包進(jìn)行傳播：

其使用NSIS軟件打包，提取后的文件包括NSIS插件文件system.dll以及加密的病毒主體文件416352975：

打包該勒索樣本的NSIS腳本如下：

將腳本整理后，我們發(fā)現(xiàn)其主要的功能是將加密的勒索病毒主體文件416352975映射到內(nèi)存空間，在內(nèi)存里進(jìn)行解密然后執(zhí)行：

要獲取解密后的勒索payload需要進(jìn)行動(dòng)態(tài)調(diào)試，從內(nèi)存dump。首先在分配的內(nèi)存中解密相關(guān)數(shù)據(jù)：

解密后的數(shù)據(jù)如下：

然后進(jìn)行整合，創(chuàng)建進(jìn)程執(zhí)行：

解密后的文件就是Sodinokibi勒索病毒主體payload文件，具有此勒索的典型入口：

此勒索病毒加密后的文件后綴名為隨機(jī)文件名：

勒索提示信息文件j37k8zju-readme.txt，內(nèi)容如下所示：

加密文件之后會(huì)修改桌面背景圖片，如下所示：

解決方案

1、不要點(diǎn)擊來源不明的郵件以及附件；

2、不要點(diǎn)擊來源不明的郵件中包含的鏈接；

3、采用高強(qiáng)度的密碼，避免使用弱口令密碼，并定期更換密碼；

4、打開系統(tǒng)自動(dòng)更新，并檢測(cè)更新進(jìn)行安裝；

5、盡量關(guān)閉不必要的文件共享；

6、請(qǐng)注意備份重要文檔。備份的最佳做法是采取3-2-1規(guī)則，即至少做三個(gè)副本，用兩種不同格式保存，并將副本放在異地存儲(chǔ)。