↑ 点击上方“安全狗”关注我们
近日,海青实验室接到多个客户反馈,发现多台服务器被勒索软件加密,文件的拓展名被修改成如x0n0p94、0cojq0jx等不规则的字符串的现象。经过初步分析,我们确认该样本属于Sodinokibi家族。
根据国外安全研究团队的披露,攻击者传播Sodinokibi勒索软件的方式,往往是通过Oracle WebLogic Server中的反序列化漏洞(CVE-2019-2725),而经过我们现场取证,发现此次攻击是通过爆破3389端口来进行传播的。
我们这里将公布初步的研究结果,以及用户如何防范,敬请知晓。
病毒名称 | Sodinokibi勒索软件 |
传播方式 | Oracle WebLogic Server中的反序列化漏洞、远程桌面爆破 |
危害等级 | 高危 |
病毒性质 | 勒索软件 |
MD5 | e62c896825a6d186f34fb16b1f57490a |
Domain | http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion http://decryptor.top |
安全狗总预警期数 | 83 |
安全狗发布预警日期 | 2019年5月9日 |
安全狗更新预警日期 | 2019年5月9日 |
发布者 | 安全狗海青实验室 |
Sodinokibi勒索软件感染服务器成功后会生成文件加密后缀名+readme.txt的勒索信息,勒索信息包括个人的ID序列号,以及恶意软件作者的联系方式。有趣的是Cisco Talos团队披露的攻击者勒索信息开头显示的是“Hello Dear friend”,而此处使用的是“Welcome Again”,不排除攻击者实施攻击的过程中有二次投递勒索软件的行为。
访问文本显示的恶意软件作者的联系方式,输入感染ID序列号和文件后缀名会跳转到如下网页。
您可以采用如下的方式防范该病毒,以尽可能避免损失
1.Weblogic、Apache Struts2等服务器组件及时安装安全补丁,更新到最新版本。
2.远程桌面避免使用弱密码,建议使用“大写字母+小写字母+数字+符号”8位以上密码。
3.对重要的数据文件定期进行非本地备份。
为了更好地应对勒索软件的威胁,我们也基于自身产品的优势总结了一份专项解决方案
事前加固
1、检测并修复弱口令
2、制定严格的端口管理策略
3、设置防爆破策略
4、一键更新漏洞补丁
5、病毒木马检测
事中防御
1、通过对网络内部主机的进程、会话、资源等指标参数进行监测以发现异常的可疑行为。
2、结合威胁情报提供的远控或高危黑IP,感知可能正在发生的攻击事件
事后处置
1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。可开启IPS和僵尸网络功能进行封堵。
3、查找攻击源:手工抓包分析或借助安全狗啸天态势感知平台快速查找攻击源,避免更多主机持续感染。
4、查杀病毒:推荐使用安全狗进行病毒查杀,快速分析流行事件,实现终端威胁闭环处置响应。
往期精彩文章:
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...