什么是Sodinokibi?
Sodinokibi(也称为REvil或Sodin)由S!Ri发现, 是一种由网络罪犯创建的勒索软件类型的程序。他们使用它来加密存储在受害者计算机上的文件,并防止人们在他们支付赎金之前访问它们。恶意软件研究人员将其称为Sodinokibi,但是开发人员尚未提供正式名称。该勒索软件将勒索消息放置在包含加密文件的文件夹中。文本文件的名称取决于添加到加密文件中的扩展名。例如,如果扩展名为“ .686l0tek69 ”(并且加密的文件从“ 1.jpg ” 重命名为“ 1.jpg.686l0tek69 ”),686l0tek69-HOW-TO-DECRYPT.txt “。Sodinokibi也更改了墙纸。
勒索消息说明,感染了该勒索软件的计算机的人只能按照开发该勒索软件的网络罪犯提供的说明解密(恢复)其文件。要解密数据,用户必须使用提供的两个链接之一访问网站。一个应使用Tor浏览器打开,另一个应使用其他浏览器(例如Google Chrome,Mozilla Firefox,Opera,Internet Explorer或Microsoft Edge)打开。声明为Tor以外的浏览器创建的链接/网站可能会被浏览器阻止,因此,他们建议用户使用第一个网站链接。无论如何,一旦打开,网站都会要求用户复制并粘贴赎金消息(.txt文件)中提供的密钥,并输入扩展名(在同一文本文件中提供)。然后打开另一个页面,通知受害者他们有两天时间支付2500美元的赎金。后来,成本增加了一倍,达到5000美元。赎金必须转移到提供的比特币钱包地址(以加密货币支付)。据网络犯罪分子称,付款后,受害者应收到三张确认信。然后他们应该重新加载网站,这将为解密工具创建一个下载链接。敦促受害者不要尝试使用其他(第三方)工具解密文件-网络犯罪分子表示,使用它们可能会造成永久性数据丢失。尽管如此,请不要向该勒索软件的开发人员付款。通常,网络犯罪分子只有在收到赎金后才会合作。之后,大多数人会忽略受害者,不发送解密所需的工具/密钥。总而言之,人们被骗了。不幸,没有工具可以免费解密Sodinokibi加密的文件。只有发展出特定勒索软件感染的网络罪犯才能提供解密工具。大多, 如果不使用特定的解密密钥/工具,则无法对用于加密文件的加密算法进行“破解”。在这些情况下,最好的选择是使用备份来还原文件(如果在使用勒索软件类型的程序加密所有文件之前创建了备份)。
其他勒索软件类型程序的一些示例是 BellevueCollegeEncryptor,Hceem和Hrosas。大多数文件都是用来加密文件并保持锁定状态的,除非支付了赎金。任何区别都是解密和用于加密数据的加密算法的成本。不幸的是,在大多数情况下,除非勒索软件未完全开发,包含错误/缺陷,否则无法破解。为防止勒索软件导致数据(和财务)丢失,请维护常规备份并将其存储在远程服务器或未插拔的存储设备上。
勒索软件如何感染我的计算机?
扩散勒索软件和其他恶意程序的最常用方法是垃圾邮件活动,特洛伊木马,假冒软件更新程序,可疑软件下载源和软件“破解”工具。在垃圾邮件活动中,网络罪犯发送包含恶意附件的电子邮件。他们将这些电子邮件呈现为官方的重要尝试,试图诱使人们打开附件,这些附件通常是Microsoft Office和PDF文档,ZIP,RAR文件,JavaScript文件,可执行文件(.exe等)之类的存档,等等。如果打开,他们将下载并安装勒索软件或其他高风险恶意软件。如果计算机上已安装特洛伊木马,则该木马会扩散其他威胁。这类程序通常会导致链感染。伪造的软件更新程序会扩散/安装恶意软件,而不是预期的更新或修复程序。这些工具也可以用来开发过时的软件缺陷,漏洞。不可信的下载资源(例如对等网络,免费文件托管网站,免费软件下载网站,非官方网站和其他类似渠道)用于分发勒索软件。网络犯罪分子利用这些渠道将其恶意软件呈现为无害文件。人们下载并打开它们时,会安装恶意程序。通过使用软件“破解”工具,人们经常冒安装恶意程序的风险。这些工具据说绕过了付费软件激活,但是,它们通常会导致不必要的安装和计算机感染。不可信的下载资源(例如对等网络,免费文件托管网站,免费软件下载网站,非官方网站和其他类似渠道)用于分发勒索软件。网络犯罪分子利用这些渠道将其恶意软件呈现为无害文件。人们下载并打开它们时,会安装恶意程序。通过使用软件“破解”工具,人们经常冒安装恶意程序的风险。这些工具据说绕过了付费软件激活,但是,它们通常会导致不必要的安装和计算机感染。不可信的下载资源(例如对等网络,免费文件托管网站,免费软件下载网站,非官方网站和其他类似渠道)用于分发勒索软件。网络犯罪分子利用这些渠道将其恶意软件呈现为无害文件。人们下载并打开它们时,会安装恶意程序。通过使用软件“破解”工具,人们经常冒安装恶意程序的风险。这些工具据说绕过了付费软件激活,但是,它们通常会导致不必要的安装和计算机感染。人们下载并打开它们时,会安装恶意程序。通过使用软件“破解”工具,人们经常冒安装恶意程序的风险。这些工具据说绕过了付费软件激活,但是,它们通常会导致不必要的安装和计算机感染。人们下载并打开它们时,会安装恶意程序。通过使用软件“破解”工具,人们经常冒安装恶意程序的风险。这些工具据说绕过了付费软件激活,但是,它们通常会导致不必要的安装和计算机感染。
| 名称 |
Sodinokibi病毒 |
| 威胁类型 |
勒索软件,加密病毒,文件柜。 |
| 加密文件扩展名 |
随机字符串。 |
| 索要赎金 |
文本文件,桌面墙纸,网站。 |
| 赎金金额 |
$ 2500 / $ 5000 |
| 网络犯罪联系 |
网站聊天。 |
| 检测名称 |
Avast(Win32:Malware-gen),BitDefender(Trojan.GenericKD.31927370),ESET-NOD32(Win32 / GenKryptik.DGSJ的变体),卡巴斯基(Exploit.Win32.Nekto.lr),完整检测列表(VirusTotal) |
| 流氓进程名称 |
显示Mcga Wmv Ramsey |
| 病征 |
无法打开计算机上存储的文件,以前的功能文件现在具有不同的扩展名(例如,my.docx.locked)。赎金要求消息显示在您的桌面上。网络罪犯要求支付赎金(通常以比特币支付)以解锁您的文件。 |
| 分配方式 |
受感染的电子邮件附件(宏),洪流网站,恶意广告。 |
| 损伤 |
所有文件均已加密,未经勒索无法打开。可以与勒索软件感染一起安装其他密码窃取木马和恶意软件感染。 |
如何保护自己免受勒索软件感染?
避免打开从未知/可疑地址收到的电子邮件中的附件。Web链接也是如此。电子邮件通常被认为是重要且合法的,但是它们基本上无关紧要。此外,下载软件时请使用官方且值得信赖的网站,并使用官方开发人员提供的已实现功能或工具对其进行更新。请注意,使人们避免为软件付费的工具是非法的,通常会导致计算机感染。为避免计算机感染,请安装信誉良好的防病毒/反间谍软件并保持启用状态。
Sodinokibi网站的屏幕截图(第一页):
Sodinokibi网站的屏幕截图(第二页):
Sodinokibi网站以Tor(GIF)打开的外观:
Sodinokibi桌面墙纸的屏幕截图:
通过Sodinokibi(随机扩展名)加密的文件的屏幕截图:
任务管理器中Sodinokibi勒索软件过程的屏幕截图(“ 显示Mcga Wmv照片Ramsey已婚 ”)
2019年5月3日更新 -研究表明,网络犯罪分子已开始利用Oracle WebLogic Server漏洞(CVE-2019-2725)向他们注入恶意软件,包括GANDCRAB,Sodinokibi和各种矿工,僵尸网络等。幸运的是,Oracle已经发布了修复漏洞的补丁。
2019年7月11日更新 -网络罪犯最近发布了Sodinokibi勒索软件的更新版本,该软件现在能够通过Windows 10操作系统的服务器版本利用Windows 7中的Win32k组件漏洞。Sodinokibi利用此漏洞来增强其特权,从而使其能够进一步破坏系统。我们还应该提到,Sodinokibi使用多种加密来破坏数据。它不仅加密文件,而且还加密了私钥(恢复数据所必需)。换句话说,解密需要两个密钥。
2019年9月3日更新 -网络罪犯已开始通过被劫持的合法WordPress网站分发Sodinokibi勒索软件。他们使用JavaScript注入合法网站,该JavaScript会通过伪造的问答论坛帖子(通常与实际网站内容相关)来更改原始网站的内容。该帖子包含来自站点管理员的虚假答案,并且答案包含指向Sodinokibi的安装设置的链接。
2019年10月21日更新 -尽管没有解密工具能够免费免费恢复Sodinokibi勒索软件破坏的数据,但作者最近发现了一种变通办法,可以帮助一些受害者恢复其数据。
更新2019年12月27日 -骗子最近发布了Sodinokibi勒索软件的另一种变体。行为实际上是相同的-它加密数据,附加随机扩展名,更改桌面墙纸并丢弃赎金记录。主要区别是赎金票据中的文字,现在希望受害者“圣诞快乐”。该网站也略有更新。
2020年1月23日更新 -Sodinokibi勒索软件的开发人员已开始使用一种新策略-威胁受害者发布数据,这些数据显然不仅被加密,而且还被盗。Sodinokibi的开发人员声称,他们在加密数据之前已经复制了数据,现在他们威胁要公开它,除非支付了赎金。这种策略在勒索软件开发人员中越来越受欢迎,因为它增加了他们获得报酬的机会。家庭用户可能会忍受丢失的图像,视频和其他类似数据,但是将所有这些内容公开访问的人则完全不同。特别是在公司方面-目前,Sodinokibi的开发人员扬言要释放从Gedia Automotive Group窃取的信息,这是一家非常庞大的公司,拥有4300多名员工。骗子窃取了超过50 GB的数据,其中包括员工,客户等的记录。泄漏这些个人数据可能会对任何公司造成严重损害。您可以在Sergiu Gatlan在BleepingComputer中的文章中找到更多详细信息。
2020年3月20日更新 -骗子最近发布了Sodinokibi勒索软件的另一种变体。其行为实际上是相同的-加密文件的名称后附加了随机字符串,更改了桌面墙纸,并删除了赎金记录。区别在于赎金票据和桌面墙纸中的文本。
此Sodinokibi勒索软件的勒索记录(“ [random_string] -HELP-NEED.txt”)的屏幕截图:
此Sodinokibi变体(随机扩展名)加密的文件的屏幕截图:
2020年4月20日更新 -骗子最近发布了Sodinokibi勒索软件的另一种变体。它的大多数行为是完全相同的-它附加了一个随机扩展名,设置与桌面墙纸完全相同的图像,并宣传相同的Tor网络网站。但是,文本文件(“ readme。[random_string] .txt ”)中的赎金记录是不同的:
2020年5月20日更新-网络犯罪分子最近发布了Sodinokibi勒索软件的更新版本,该软件现在能够对由其他进程/应用程序打开和锁定的数据进行加密(文件通常出于安全目的而被锁定-多个应用程序同时写入同一文件可能损坏它)。要删除锁,Sodinokibi只需终止锁定过程并继续进行加密。
2020年6月18日更新 -如先前的更新所述,Sodinokibi的开发人员设法从Grugman Shire Meiselas&Sacks(GSMLaw)公司窃取数据,并获得了各种名人的私人信息。他们还威胁说,如果不支付赎金,就会泄漏数据。好,泄漏已经开始。网络犯罪分子正在拍卖中出售被盗的数据。他们声称已经出售了有关现任美国总统唐纳德·特朗普的信息,而麦当娜的信息将被出售。有趣的是,这些人正在索取数十万美元的信息(D. Trump私人数据的起始价格据说是1.000.000美元)。
Sodinokibi勒索软件清除:
快捷菜单:
第1步
Windows XP和Windows 7用户:在安全模式下启动计算机。单击开始,单击关闭,单击重新启动,单击确定。在计算机启动过程中,多次按键盘上的F8键,直到看到Windows Advanced Option菜单,然后从列表中选择“带网络连接的安全模式”。
Windows 8用户:启动Windows 8是具有网络连接的安全模式-转到Windows 8的“开始”屏幕,键入Advanced,在搜索结果中选择“设置”。单击高级启动选项,在打开的“常规PC设置”窗口中,选择高级启动。点击“立即重启”按钮。您的计算机现在将重新启动到“高级启动选项菜单”中。单击“疑难解答”按钮,然后单击“高级选项”按钮。在高级选项屏幕中,单击“启动设置”。点击“重启”按钮。您的PC将重新启动进入“启动设置”屏幕。按F5键以网络安全模式启动。
Windows 10用户:单击Windows徽标,然后选择电源图标。在打开的菜单中,按住键盘上的“ Shift”按钮的同时单击“重新启动”。在“选择选项”窗口中,单击“疑难解答”,然后选择“高级选项”。在高级选项菜单中,选择“启动设置”,然后单击“重新启动”按钮。在以下窗口中,您应该单击键盘上的“ F5”按钮。这将通过网络以安全模式重新启动操作系统。
第2步
登录到感染了Sodinokibi病毒的帐户。启动您的Internet浏览器并下载合法的反间谍程序。更新反间谍软件并开始全面的系统扫描。删除所有检测到的条目。
Combo Cleaner会检查您的计算机是否感染了恶意软件。要使用功能齐全的产品,您必须购买Combo Cleaner的许可证。提供有限的三天免费试用。
如果无法通过网络以安全模式启动计算机,请尝试执行系统还原。
该视频显示了如何使用“带命令提示符的安全模式”和“系统还原”删除勒索软件病毒:
1.在计算机启动过程中,多次按键盘上的F8键,直到出现Windows“高级选项”菜单,然后从列表中选择“带命令提示符的安全模式”,然后按Enter。
2.加载命令提示符模式后,输入以下行:cd restore并按Enter。
3.接下来,键入以下行:rstrui.exe,然后按Enter。
4.在打开的窗口中,单击“下一步”。
5.选择一个可用的还原点,然后单击“下一步”(在Sodinokibi勒索软件病毒渗透到您的PC之前,这会将您的计算机系统还原到更早的时间和日期)。
6.在打开的窗口中,单击“是”。
7.将计算机还原到以前的日期后,请使用推荐的恶意软件清除软件下载并扫描您的PC,以消除所有剩余的Sodinokibi勒索软件文件。
要还原由该勒索软件加密的单个文件,请尝试使用Windows早期版本功能。仅当在受感染的操作系统上启用了系统还原功能时,此方法才有效。请注意,已知Sodinokibi的某些变体会删除文件的卷影副本,因此此方法可能不适用于所有计算机。
要还原文件,请右键单击它,进入“属性”,然后选择“先前版本”选项卡。如果相关文件具有还原点,则选择它并单击“还原”按钮。
如果无法通过网络(或命令提示符)以安全模式启动计算机,请使用应急磁盘启动计算机。勒索软件的某些变体会禁用安全模式,从而使其删除变得复杂。对于此步骤,您需要访问另一台计算机。
要重新控制由Sodinokibi加密的文件,您还可以尝试使用名为Shadow Explorer的程序。有关如何使用此程序的更多信息,请参见此处。
为了保护您的计算机免受诸如此类的文件加密勒索软件的侵害,请使用信誉良好的防病毒和反间谍软件程序。作为一种额外的保护方法,您可以使用称为HitmanPro.Alert和EasySync CryptoMonitor的程序,这些程序将组策略对象人为植入注册表中,以阻止流氓程序(例如Sodinokibi勒索软件)。
请注意,Windows 10 Fall Creators Update包含“ 受控文件夹访问 ”功能,该功能可阻止勒索软件尝试加密文件。默认情况下,此功能自动保护存储在文档,图片,视频,音乐,收藏夹以及桌面文件夹中的文件。
Windows 10用户应安装此更新,以保护其数据免受勒索软件攻击。这是有关如何获取此更新并添加针对勒索软件感染的附加保护层的更多信息。
- 避免受到勒索软件感染损害的最佳方法是保持定期的最新备份。有关在线备份解决方案和数据恢复软件的更多信息,请关注我们。
最后总结:
以上就是此类勒索病毒的清除方法,但由于此类勒索病毒目前暂时不支持解密,所以对于此勒索病毒的中毒文件处理方案如下:
1.如果文件不急需,可以备份等黑客被抓或良心发现,自行发布解密工具
2.如果文件急需,可以自行联系黑客(有可能付款拿不到解密工具)
也可以发文件类型给我看看是否有其它解决方案。
另外,如果开启了远程桌面建议立即修改密码,最好设置长度为18位 大小写加字符加数字 最好每三个月更换一次密码;共享文件夹设置访问需要密码或者设置访问权限、不随意点击不明URl及邮件附件,避免此类问题的再次发生。
磐石安服-安全防护建议:
1.多台机器,不要使用相同的账号和口令
2.登录口令要有足够的长度和复杂性,并定期更换登录口令
3.重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4.定期检测系统和软件中的安全漏洞,及时打上补丁。
5.定期到服务器检查是否存在异常。查看范围包括:
a)是否有新增账户
b) Guest是否被启用
c) Windows系统日志是否存在异常
d)杀毒软件是否存在异常拦截情况
6.安装安全防护软件,并确保其正常运行。
7.从正规渠道下载安装软件。
8.对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。