概要
Sodinokibi 於 2019 年 4 月首次被發現,也就是 GandCrab勒索軟體結束的前幾個月。觀察到有多種初始訪問:
- 漏洞(例如 Oracle WebLogic Server 漏洞 CVE-2019-2725)
- 帶有附件/鏈接的魚叉式網絡釣魚
- 偷渡式劫持
- RDP / 有效帳戶
2020 年 3 月左右,它開始採用同樣的做法,將被盜文件用作支付贖金的槓桿。他們發布了超過 12 GB 的被盜數據,據稱這些數據屬於一家名為 Brooks International 的公司,因為在此期間沒有支付贖金。
與其他勒索病毒不同,沒有觀察到與其他惡意軟體的關係,由於 RaaS 的性質,可能有各種攻擊流。
行為
- 刪除磁碟區陰影複製服務
- 在目標機器上保持持久性
- 終止程序
- 停止服務
能力
- 檔案加密
- 禁用使用功能
影響
- 數據丟失 - 加密時丟失重要文件、文檔和其他數據
- 經濟損失 - 要求用戶付費以解密受影響的文件
- 信息竊取
感染常規
當前感染流程基於與 Sodinokibi 相關的其他變體/事件的可用數據和研究:
- 常見流程:
- 更具體/有針對性的流程:
詳情
檔案信譽
檢測/策略/規則 | 模式分支/版本 | 發布日期/最後更新 |
---|---|---|
Ransom.Win32.SODINOKIBI.THDO | Pattern available in OPR 16.235.00 | 2020 年 9 月 19 日 |
Ransom.Win32.SODINOKIB.SMTH | Pattern available in OPR 16.319.00 | 2020 年 11 月 1 日 |
Ransom.Win32.SODINOKIB.SMTH | Pattern available in OPR 16.389.00 | 2020 年 12 月 3 日 |
TROJ_GEN.R002C0DH520 | Pattern available in OPR 16.379.00 | 2020 年 11 月 20 日 |
Ransom.Win32.SODINOKIBI.AUWUJDES | Pattern available in OPR 16.910.00 | 2020 年 8 月 28 日 |
Machine Learning
偵測 | 模式分支/版本 |
---|---|
Troj.Win32.TRX.XXPE50FFF038 | 雲端 |
Troj.Win32.TRX.XXPE50FFF036 | 雲端 |
建議
- 確保始終使用可用的最新模式來檢測 Sodinokibi 勒索軟件的新舊變種。請參閱關於如何使用趨勢科技產品最好地保護您的網絡的建議.
- 確保實施勒索病毒保護功能和最佳實務。請參閱關於勒索病毒的知識庫文章: 使用趨勢科技產品的解決方案、最佳實踐配置和預防。.
- 您還可以查看關於 向技術支持提交可疑或未檢測到的病毒以進行文件分析.
- 如需協助,請聯繫 趨勢科技技術支持。 .
威脅報告