什么是Sodinokibi勒索病毒?
Sodinokibi(也称为REvil或Sodin)由S!Ri发现, 是一种由网络罪犯创建的勒索软件类型的程序。他们使用它来加密存储在受害者计算机上的文件,并防止人们在他们支付赎金之前访问它们。恶意软件研究人员将其称为Sodinokibi,但是开发人员尚未提供正式名称。该勒索软件将勒索消息放置在包含加密文件的文件夹中。文本文件的名称取决于添加到加密文件中的扩展名。例如,如果扩展名为“ .686l0tek69 ”(并且加密的文件从“ 1.jpg ” 重命名为“ 1.jpg.686l0tek69 ”),686l0tek69-HOW-TO-DECRYPT.txt “。Sodinokibi也更改了墙纸。| 名称 | Sodinokibi病毒 |
| 威胁类型 | 勒索软件,加密病毒,文件柜。 |
| 加密文件扩展名 | 随机字符串。 |
| 索要赎金 | 文本文件,桌面墙纸,网站。 |
| 网络犯罪联系 | 网站聊天。 |
| 检测名称 | Avast(Win32:Malware-gen),BitDefender(Trojan.GenericKD.31927370),ESET-NOD32(Win32 / GenKryptik.DGSJ的变体),卡巴斯基(Exploit.Win32.Nekto.lr),完整检测列表(VirusTotal) |
| 流氓进程名称 | 显示Mcga Wmv Ramsey |
| 病征 | 无法打开计算机上存储的文件,以前的功能文件现在具有不同的扩展名(例如,my.docx.locked)。赎金要求消息显示在您的桌面上。网络罪犯要求支付赎金(通常以比特币支付)以解锁您的文件。 |
| 分配方式 | 受感染的电子邮件附件(宏),洪流网站,恶意广告。 |
| 损伤 | 所有文件均已加密,未经勒索无法打开。可以与勒索软件感染一起安装其他密码窃取木马和恶意软件感染。 |
勒索消息说明,感染了该勒索软件的计算机的人只能按照开发该勒索软件的网络罪犯提供的说明解密(恢复)其文件。要解密数据,用户必须使用提供的两个链接之一访问网站。一个应使用Tor浏览器打开,另一个应使用其他浏览器(例如Google Chrome,Mozilla Firefox,Opera,Internet Explorer或Microsoft Edge)打开。声明为Tor以外的浏览器创建的链接/网站可能会被浏览器阻止,因此,他们建议用户使用第一个网站链接。无论如何,一旦打开,网站都会要求用户复制并粘贴赎金消息(.txt文件)中提供的密钥,并输入扩展名(在同一文本文件中提供)。然后打开另一个页面,通知受害者他们有两天时间支付2500美元的赎金。后来,成本增加了一倍,达到5000美元。赎金必须转移到提供的比特币钱包地址(以加密货币支付)。据网络犯罪分子称,付款后,受害者应收到三张确认信。然后他们应该重新加载网站,这将为解密工具创建一个下载链接。敦促受害者不要尝试使用其他(第三方)工具解密文件-网络犯罪分子表示,使用它们可能会造成永久性数据丢失。尽管如此,请不要向该勒索软件的开发人员付款。通常,网络犯罪分子只有在收到赎金后才会合作。之后,大多数人会忽略受害者,不发送解密所需的工具/密钥。总而言之,人们被骗了。不幸,没有工具可以免费解密Sodinokibi加密的文件。只有发展出特定勒索软件感染的网络罪犯才能提供解密工具。大多, 如果不使用特定的解密密钥/工具,则无法对用于加密文件的加密算法进行“破解”。在这些情况下,最好的选择是使用备份来还原文件(如果在使用勒索软件类型的程序加密所有文件之前创建了备份)。
其他勒索软件类型程序的一些示例是BellevueCollegeEncryptor,Hceem和Hrosas。大多数文件都是用来加密文件并保持锁定状态的,除非支付了赎金。任何区别都是解密和用于加密数据的加密算法的成本。不幸的是,在大多数情况下,除非勒索软件未完全开发,包含错误/缺陷,否则无法破解。为防止勒索软件导致数据(和财务)丢失,请维护常规备份并将其存储在远程服务器或未插拔的存储设备上。
Sodinokibi勒索病毒如何感染我的计算机?
扩散勒索软件和其他恶意程序的最常用方法是垃圾邮件活动,特洛伊木马,假冒软件更新程序,可疑软件下载源和软件“破解”工具。在垃圾邮件活动中,网络罪犯发送包含恶意附件的电子邮件。他们将这些电子邮件呈现为官方的重要尝试,试图诱使人们打开附件,这些附件通常是Microsoft Office和PDF文档,ZIP,RAR文件,JavaScript文件,可执行文件(.exe等)之类的存档,等等。如果打开,他们将下载并安装勒索软件或其他高风险恶意软件。如果计算机上已安装特洛伊木马,则该木马会扩散其他威胁。这类程序通常会导致链感染。伪造的软件更新程序会扩散/安装恶意软件,而不是预期的更新或修复程序。这些工具也可以用来开发过时的软件缺陷,漏洞。不可信的下载资源(例如对等网络,免费文件托管网站,免费软件下载网站,非官方网站和其他类似渠道)用于分发勒索软件。网络犯罪分子利用这些渠道将其恶意软件呈现为无害文件。人们下载并打开它们时,会安装恶意程序。通过使用软件“破解”工具,人们经常冒安装恶意程序的风险。这些工具据说绕过了付费软件激活,但是,它们通常会导致不必要的安装和计算机感染。不可信的下载资源(例如对等网络,免费文件托管网站,免费软件下载网站,非官方网站和其他类似渠道)用于分发勒索软件。网络犯罪分子利用这些渠道将其恶意软件呈现为无害文件。人们下载并打开它们时,会安装恶意程序。通过使用软件“破解”工具,人们经常冒安装恶意程序的风险。这些工具据说绕过了付费软件激活,但是,它们通常会导致不必要的安装和计算机感染。不可信的下载资源(例如对等网络,免费文件托管网站,免费软件下载网站,非官方网站和其他类似渠道)用于分发勒索软件。网络犯罪分子利用这些渠道将其恶意软件呈现为无害文件。人们下载并打开它们时,会安装恶意程序。通过使用软件“破解”工具,人们经常冒安装恶意程序的风险。这些工具据说绕过了付费软件激活,但是,它们通常会导致不必要的安装和计算机感染。人们下载并打开它们时,会安装恶意程序。通过使用软件“破解”工具,人们经常冒安装恶意程序的风险。这些工具据说绕过了付费软件激活,但是,它们通常会导致不必要的安装和计算机感染。人们下载并打开它们时,会安装恶意程序。通过使用软件“破解”工具,人们经常冒安装恶意程序的风险。这些工具据说绕过了付费软件激活,但是,它们通常会导致不必要的安装和计算机感染。如何保护自己免受Sodinokibi勒索病毒感染?
避免打开从未知/可疑地址收到的电子邮件中的附件。Web链接也是如此。电子邮件通常被认为是重要且合法的,但是它们基本上无关紧要。此外,下载软件时请使用官方且值得信赖的网站,并使用官方开发人员提供的已实现功能或工具对其进行更新。请注意,使人们避免为软件付费的工具是非法的,通常会导致计算机感染。为避免计算机感染,请安装信誉良好的防病毒/反间谍软件并保持启用状态。Sodinokibi勒索病毒发展史
2019年5月3日更新 -研究表明,网络犯罪分子已开始利用Oracle WebLogic Server漏洞(CVE-2019-2725)向他们注入恶意软件,包括GANDCRAB,Sodinokibi和各种矿工,僵尸网络等。幸运的是,Oracle已经发布了修复漏洞的补丁。2019年7月11日更新 -网络罪犯最近发布了Sodinokibi勒索软件的更新版本,该软件现在能够通过Windows 10操作系统的服务器版本利用Windows 7中的Win32k组件漏洞。Sodinokibi利用此漏洞来增强其特权,从而使其能够进一步破坏系统。我们还应该提到,Sodinokibi使用多种加密来破坏数据。它不仅加密文件,而且还加密了私钥(恢复数据所必需)。换句话说,解密需要两个密钥。
2019年9月3日更新 -网络罪犯已开始通过被劫持的合法WordPress网站分发Sodinokibi勒索软件。他们使用JavaScript注入合法网站,该JavaScript会通过伪造的问答论坛帖子(通常与实际网站内容相关)来更改原始网站的内容。该帖子包含来自站点管理员的虚假答案,并且答案包含指向Sodinokibi的安装设置的链接。
2019年10月21日更新 -尽管没有解密工具能够免费免费恢复Sodinokibi勒索软件破坏的数据,但作者最近发现了一种变通办法,可以帮助一些受害者恢复其数据。
更新2019年12月27日 -骗子最近发布了Sodinokibi勒索软件的另一种变体。行为实际上是相同的-它加密数据,附加随机扩展名,更改桌面墙纸并丢弃赎金记录。主要区别是赎金票据中的文字,现在希望受害者“圣诞快乐”。该网站也略有更新。
2020年1月23日更新 -Sodinokibi勒索软件的开发人员已开始使用一种新策略-威胁受害者发布数据,这些数据显然不仅被加密,而且还被盗。Sodinokibi的开发人员声称,他们在加密数据之前已经复制了数据,现在他们威胁要公开它,除非支付了赎金。这种策略在勒索软件开发人员中越来越受欢迎,因为它增加了他们获得报酬的机会。家庭用户可能会忍受丢失的图像,视频和其他类似数据,但是将所有这些内容公开访问的人则完全不同。特别是在公司方面-目前,Sodinokibi的开发人员扬言要释放从Gedia Automotive Group窃取的信息,这是一家非常庞大的公司,拥有4300多名员工。骗子窃取了超过50 GB的数据,其中包括员工,客户等的记录。泄漏这些个人数据可能会对任何公司造成严重损害。
2020年3月20日更新 -骗子最近发布了Sodinokibi勒索软件的另一种变体。其行为实际上是相同的-加密文件的名称后附加了随机字符串,更改了桌面墙纸,并删除了赎金记录。区别在于赎金票据和桌面墙纸中的文本。
2020年4月20日更新 -骗子最近发布了Sodinokibi勒索软件的另一种变体。它的大多数行为是完全相同的-它附加了一个随机扩展名,设置与桌面墙纸完全相同的图像,并宣传相同的Tor网络网站。但是,文本文件(“ readme。[random_string] .txt ”)中的赎金记录是不同的:
2020年5月20日更新-网络犯罪分子最近发布了Sodinokibi勒索软件的更新版本,该软件现在能够对由其他进程/应用程序打开和锁定的数据进行加密(文件通常出于安全目的而被锁定-多个应用程序同时写入同一文件可能损坏它)。要删除锁,Sodinokibi只需终止锁定过程并继续进行加密。
2020年6月18日更新 -如先前的更新所述,Sodinokibi的开发人员设法从Grugman Shire Meiselas&Sacks(GSMLaw)公司窃取数据,并获得了各种名人的私人信息。他们还威胁说,如果不支付赎金,就会泄漏数据。好,泄漏已经开始。网络犯罪分子正在拍卖中出售被盗的数据。他们声称已经出售了有关现任美国总统唐纳德·特朗普的信息,而麦当娜的信息将被出售。有趣的是,这些人正在索取数十万美元的信息(D. Trump私人数据的起始价格据说是1.000.000美元)。
中了Sodinokibi勒索病毒文件怎么恢复?
Sodinokibi勒索病毒目前暂时不支持解密。1. 如果文件不急需,可以先备份等黑客被抓或良心发现,自行发布解密工具
2.如果文件急需,可以添加91数据恢复的服务号(shujuxf),发送文件样本进行免费咨询数据恢复方案,或者寻求其它第三方解密服务,如果采取付费解密服务注意以下事项:
(1)不建议直接向黑客付款。直接向黑客付款存在很大风险,第一是可能拿到的解密工具并不能使用 ,第二密钥不对,第三再次或多次向你索要赎金。
(2)通过寻找第三方解密服务商,开始工作前一定要签订合同,要明确解密不成功是否需要付款等问题,必要时可要求上门服务。
(3)不要咨询太多第三方商家。因为第三方大多都是去找黑客购买密钥。过多的联系第三方商家,会造成黑客收到多次关于你设备的咨询过多的联系第三方商家,会造成黑客收到多次关于你设备的咨询,可能导致黑客认为你的数据特别重要,而提高赎金。
(4)不要过度描述自己文件的重要性,可能会造成解密商或黑客提高佣金或赎金要求。
预防勒索病毒-日常防护建议:
1.多台机器,不要使用相同的账号和口令2.登录口令要有足够的长度和复杂性,并定期更换登录口令
3.重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4.定期检测系统和软件中的安全漏洞,及时打上补丁。
5.定期到服务器检查是否存在异常。查看范围包括:
a)是否有新增账户
b) Guest是否被启用
c) Windows系统日志是否存在异常
d)杀毒软件是否存在异常拦截情况
6.安装安全防护软件,并确保其正常运行。
7.从正规渠道下载安装软件。
8.对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。
本站文章均为91数据恢复专业数据团队根据公司业务案例,数据恢复工作中整理发表,部分内容摘自权威资料,书籍,或网络原创文章,如有版权纠纷或者违规问题,请即刻联系我们删除,我们欢迎您分享,引用和转载,我们谢绝直接复制和抄袭,感谢!
联络方式:
客服热线:400-1050-918
技术顾问:13318844580
邮箱:91huifu@91huifu.com
微信公众号 
售前工程师1 
售前工程师2 
粤公网安备 44030502006563号