警惕SODINOKIBI勒索病毒再变种,勒索巨额赎金

近日,亚信安全截获SODINOKIBI勒索病毒最新变种文件,与以往不同的是,本次截获的勒索病毒的payload是一个DLL文件(以往样本是EXE可执行文件),通过进程注入方式加载,从而逃避检测。其首先通过.net外壳程序启动一个正常的 vbc.exe进程,然后将勒索模块注入到该进程中,最后加载执行数据加密。另外一个值得注意的是,本次勒索病毒的勒索赎金最高达4万美金。亚信安全将该勒索病毒命名为Ransom.MSIL.SODINOKIBI.A。

病毒详细分析

外壳程序分析

该样本是由.Net编写,并且进行了混淆处理。样本信息如下图所示:

去除相关混淆后,我们可以清楚地看到具体程序流程,其首先使用base64解密数据到数组中,通过动态调试可知,解密后的数据就是核心勒索payload DLL(我们dump出为payload.dll),用于后续的进程注入:

然后启动Windows的正常进程vbc.exe:

通过进程内存修改和恢复线程的方式进行注入操作:

进程注入操作用到的库函数列表:

payload.dll文件分析

此文件是勒索病毒主体文件,与以往SODINOKIB勒索样本基本类似,需要在内存中解密出核心加密主程序,然后跳转至入口执行:

加密后的文件后缀名为.gt0w210:

勒索提示信息文件:

修改桌面背景图片:

我来评几句
登录后评论

已发表评论数()

相关站点

+订阅
热门文章