sodinokibi勒索软件瞄准政务系统，爆发趋势上升-7411威尼斯

近期，江民赤豹网络安全实验室监测到sodinokibi勒索软件感染事件呈上升趋势。sodinokibi勒索病毒首先出现于2019年4月底，早期使用web服务相关漏洞传播。近期发现，sodinokibi勒索病毒会伪装成税务单位、司法机构，使用钓鱼欺诈邮件来传播，感染后使用rsa salsa20算法加密电脑上的重要文件，影响用户业务运行。

早在今年6月初，gandcrab勒索病毒制造者就在俄语论坛中发布“退休”声明，声称在2018年中通过gandcrab勒索病毒勒索超过20亿美元（约134亿人民币）的赎金，鼓励更多的恶意攻击者加入勒索行动，而sodinokibi在gandcrab勒索病毒“退休”前的一个月被第一次发现，其代码中多项特征与gandcrab类似，被认为是gandcrab勒索软件的“继承者”。

sodinokibi勒索病毒，又常常被称为sodin、revil，尽管从发现第一个版本至今才不到3个月时间，该勒索病毒的知名度已经非常高了，因为它与刚刚退休不久的gandcrab勒索软件有着极强的关联。

如同gandcrab一样，sodinokibi也采用勒索软件即服务（raas）的形式进行分发传播，从技术上看sodinokibi比gandcrab更加先进。根据互联网中的数据显示，自从gandcrab勒索软件在5月宣布彻底退出后，sodinokibi勒索软件在六、七月中旬的感染数量明显上升，可以预见这个趋势在未来可能会更加严重。

使用rsa salsa20算法加密电脑上的重要文件，使工作资料无法使用。

1). 通过oracle weblogic、apache struts2漏洞进行传播；

2). 通过伪装成合法软件诱导用户下载运行传播；

3). 通过垃圾邮件和恶意链接进行传播；

4). 通过远程rdp、ssh弱口令爆破进行传播。

详情见《sodinokibi勒索病毒分析报告》http://www.jiangmin.com/download/sodinokibi.pdf

1). 对重要的数据文件定期进行非本地备份；

2). 不要点击来源不明的邮件以及附件；

3). 重命名vssadmin.exe进程，防止勒索病毒利用它一次性清除文件的卷影副本；

4). weblogic、apache struts2等服务器组件及时安装安全补丁，更新到最新版本；

5). 使用长度大于10位的复杂密码，禁用guest来宾帐户。

6). 尽量不要使用局域网共享，或把共享磁盘设置为只读属性，不允许局域网用户改写文件。

7). 关闭不必要的端口，如：445、135、139、3389等。

8). 安装江民赤豹端点全息系统，全面防御勒索病毒。