【勒索警告】垃圾邮件冒充工行传播Sodinokibi勒索病毒

Sodinokibi勒索病毒于2019年4月在中​​国首次被发现，2019年5月24日在意大利首次被发现，在意大利被发现使用RDP攻击传播感染。 该病毒被称为 GandCrab 勒索软件的后继者 短短几个月内，该勒索软件已在全球广泛传播。 近期，该勒索软件通过垃圾邮件冒充中国工商银行进行网络攻击。

今年6月1日，GandCrab勒索病毒运营团队停止更新后，立即接管了之前的GandCrab传播通道。 经过近半年的发展，该勒索病毒通过多种传播途径传播，如下图：

Oracle Weblogic 服务器漏洞

闪存 UAF 漏洞

RDP攻击

垃圾邮件

水坑攻击

漏洞利用工具包和恶意广告下载

近日，笔者发现大部分勒索病毒都是通过钓鱼垃圾邮件的方式传播的。 安全研究人员发现了一个 Sodinokibi 勒索软件案例。 网络犯罪团伙利用垃圾邮件传播伪装成中国工商银行的Sodinokibi勒索软件。 邮件内容如下：

电子邮件发件人地址信息：

来自：Aline Bedirian（工商银行经理）

邮件主题：工商银行经理

附件资料：attachment:All_info.zip

邮件附件压缩包中包含一个名为银行信息证书的程序垃圾邮件勒索比特币，如下图：

从程序名称中的日期来看，昨天显示为2019年11月06日，诱骗受害者打开该程序，然后对受害者进行加密勒索，如下图：

该勒索病毒加密文件后，修改桌面背景如下：

对应的勒索信息如下：

打开勒索信息提示的解密网站，如下图：

解密需要0.53749175 BTC（相当于5000美元）

Sodinokibi 勒索软件在不久的将来仍然很流行。 各企业必须采取相应的防范措施，防止受到勒索病毒的攻击。 目前还没有针对该勒索病毒发布公开的解密工具。 目前已知的最新解密工具版本为1.6。 如下：

针对企业的勒索软件攻击越来越多，针对性很强。 旧的勒索软件不断变异，新型勒索软件不断涌现。 世界各地每天都会发现勒索软件的变体，每天都有不同类型的勒索软件。 被勒索软件攻击的公司真是数不胜数。 随着BTC等虚拟货币的普及，未来勒索软件攻击的数量将不断增加，并可能逐渐转向攻击不同的平台。 已成为全球网络安全的最大威胁

最后垃圾邮件勒索比特币，欢迎大家关注本微信公众号，关注全球恶意样本分析研究，深度追踪分析恶意样本背后的黑色产业链，关注全球最新安全攻击技术，提供及时提供最新最有价值的全球威胁情报信息

精彩回顾往事

如果你对恶意样本分析技术感兴趣，可以加入知识星球学习，加入星球的朋友可以加入“安全分析与研究”专业群，与安全研究人员交流、讨论、研究各种安全技术在集体中，让你在学习成长的路上多了一个伙伴，一起学习，一起成长

加入知识星球，安全路上，我们一路同行

长按识别二维码加入星球

安全之路漫漫，代价是坚持……

觉得内容还不错的话，给我一个“围观”