近日,亚信安全网络监测实验室截获Sodinokibi勒索病毒最新变种,该勒索病毒最早出现于2019年4月底,早期利用Oracle WebLogic Server中的反序列化漏洞(CVE-2019-2725)进行传播。近期我们发现最新变种通过钓鱼邮件进行传播,其攻击目标为商贸、科技、机关等单位相关工作人员。亚信安全将其命名为Ransom.Win32.SODINOKIBI.AUWSP。 目录: 文件: 后缀名: 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆; 尽量关闭不必要的文件共享; 采用高强度的密码,避免使用弱口令密码,并定期更换密码; 不要点击来源不明的邮件以及附件; 浏览网页时不下载运行可疑程序; 及时更新系统,更新应用程序;打全系统及应用程序补丁程序; 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。 亚信安全病毒码版本15.147.60,云病毒码版本15.147.71,全球码版本15.149.00已经可以检测,请用户及时升级病毒码版本。 针对Oracle WebLogic Server中的反序列化漏洞(CVE-2019-2725),亚信安全DS产品的DPI规则: 针对Oracle WebLogic Server中的反序列化漏洞(CVE-2019-2725),亚信安全TDA产品的规则如下:
Sodinokibi勒索病毒分析
钓鱼邮件附件伪装成Word文档、文件名则具有迷惑性,诱导用户点击: 【伪装成word文档】 我们对勒索病毒样本文件进行分析,发现其主要的功能函数,如下图所示 进入功能函数,首先动态解密修正IAT, 本次版本一共需要修正138处,相关函数函数包括:WinHttpOpenRequest、 FindNextFileW、WinHttpSendRequest、DeleteFileW等函数。 该勒索病毒会过滤如下白名单(目录,文件以及后缀名) system volume information mozilla appdata intel msocache program files (x86) programdata perflogs program files windows boot google $windows.~bt $windows.~ws tor browser application data windows.old $recycle.bin autorun.inf ntuser.dat ntuser.dat.log ntldr thumbs.db desktop.ini ntuser.ini boot.ini bootfont.bin bootsect.bak iconcache.db hlp adv rom ocx icns cab com msi ico nomedia themepack msstyles icl nls cpl ldf bin sys cur mod ics spl dll rtp ps1 mpa msu key scr cmd prf ani lnk shs drv diagcfg diagcab wpx msc bat 386 idx theme diagpkg lock hta deskthemepack exe 加密后,文件扩展名为随机字符: 勒索说明文件命名为“随机扩展名-readme.txt”: 解决方案 亚信安全解决方案
1009707-Oracle Weblogic Server Remote Code Execution Vulnerability(CVE-2019-2725)
2903 HTTP_POSSIBLE_ORACLE_WEBLOGIC_EXPLOIT
245f43b7d93d48e12db0082955712b7a229127fdd37e5b162007db85c463cca6