北京用友北京用友

您所在的位置:首页 -> 常见问题 -> 中了勒索病毒怎么办
Sodinokibi 勒索病毒解密过程-转载
浏览:688次 评论:0条 发表日期:2020-04-17 08:19:33作者:
Tags:

个病毒就是此前的 Sodinokibi 勒索病毒。在进入正题前,先给大家科普下 Sodinokibi 勒索病毒:它继承了 GandCrab 的代码结构,其特点是使用随机加密后缀,并且加密后会修改主机桌面背景为深蓝色,最早出现
 


于今年 4 月底,早期使用 Web 服务相关漏洞传播,后来发现其会伪装成税务单位、司法机构,使用钓鱼欺诈邮件来传播,但谁还没个手滑的时候呢,因此不少企业深受其害。


那么,他们是如何入侵的呢?
 

一般来说,该病毒在企业网络找到突破口后,先使用扫描爆破等方式,获取到内网中一台较为薄弱的主机权限,再上传黑客工具包对内网进行扫描爆破或密码抓取,选择重要的服务器和 PC 进行加密,然后尝试内容横向移动,加密整个企业内网尽可能多的主机或


服务器,可谓一台失陷,全网遭殃。


上一秒文件还能打开,下一秒,对不起,花钱才能访问哦。要说套路深,勒索病毒制造者才是第一。

 

 

但万万没想到,这个勒索病毒背后还有个团伙,那么,他们又是怎么合作的呢?



欧和向雷锋网介绍道, Sodinokibi 勒索病毒的爆发主要得益于其形成的产业化规模,即分布式团伙作案,每个人各司其职,按劳分配,多劳多得。首先, Sodinokibi 勒索病毒运行成功后,会在主机上留下如下勒索信息,形如“随机后缀- readme.txt ”的文档:

为了让你更容易找到他付费,他们还“贴心”的为你留了线索.......


一个是暗网聊天网页,一个是普通聊天网页,受害企业可以根据自身情况任意联系(访问)其中一个链接。访问该链接后,可以通过网页进行聊天,设计十分专业,黑客可以与受害企业就赎金问题进行协商。

而当黑客有钱了,他们还给自己找了线上保镖,专门负责谈判,24 小时在线。当然,线上客服没有最终定价权,最终赎金价格由上级老板拍板,即Sodinokibi勒索病毒的组织运营者。


而 Sodinokibi 勒索病毒的要价普遍偏高,多数是在 3 到 6 个比特币,所以其主要攻击对象是企业,并且是中大型企业,其攻击目的是瘫痪企业核心业务网络,因此很多受害企业迫于无奈交了不少赎金。


并且由于其为产业化运作,故每个参与者都有相应的分成。当受害企业向黑客钱包转入比特币的时候,此钱包会分批次转入其它成员的钱包。


例如,某次攻击成功后,将赎金分 2 批转给了 4 个钱包,分别是勒索病毒作者钱包、集成平台提供商钱包、线上客服钱包、统筹钱包。

 

 

勒索病毒作者、集成平台提供商属于薄利多销型,每一笔交易都有提成,所以单次提成比例虽低,但总数是非常客观的;线上客服按劳分配,说服一个客户,就有一小笔提成,当然大头不在他们,因为他们可替代性


比较强,技术难度也不大。

 

 

 

 

 

 

每次攻击所得的赎金,大头由统筹钱包分配给了攻击者和组织运营者,所以单次成功后的贡献比较大,而任何个人和团队都能参与到不同客户的攻击活动中来,类似销售团队,每成一单,提成都比较可观。最后的大头,当然给了组织运营者,其负责拉通各个环节


和资源,保障平台和团伙的正常运作。


这简直就是一个黑吃黑且绝对不亏的买卖啊,但雷锋网(公众号:雷锋网)编辑还是很好奇,有没有可能通过安全技术不花赎金解决问题?


“大概率是不能的,大多数情况下,黑客都会采用 RSA+AES ,对称与非对称复合加密的方式,单纯破解难度极大,甚至是不可能的。”深信服安全专家H说。


那么,作为受害者我们只能坐以待毙,乖乖掏钱吗?


当然不可以,所以为今之计企业只有两个选择,一是安全加固,二是花钱安全加固。


怎么加固呢?


深信服安全专家欧和谈到企业自身应该如何做时,主要方式有:


a、及时给电脑打补丁,修复漏洞。


b、对重要的数据文件定期进行非本地备份。

c、不要点击来源不明的邮件附件,不从不明网站下载软件。


d、尽量关闭不必要的文件共享权限。


e、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。


f、如果业务上无需使用 RDP 的,建议关闭 RDP 。


至于花钱加固,就不用了雷锋网多说了吧,比如雷锋网之前了解过的深信服勒索病毒防护方案,能够基于勒索病毒的感染传播过程进行分析和防护,并联动云端进行新型威胁的检测,实现主动防御。


接下来说的话,相信你听无数安全从业人员都说过,但依旧值得重复一遍:



别上不该上的网站,别点不该点的链接,别下不该下的东西。


大多数上网需求,都可以在正规网站上搞定,如果觉得自己安全水平不够,就别瞎逛。


否则,只能乖乖交赎金。

上一篇勒索软件五大家族的攻击目标与方法
下一篇用友服务器中了happy2choose勒索..

最新文章

T1记账宝忘记密码如何处理?
T3记帐报错,违反约束‘GL_mpostcond1_pk’
用友T+2020年最新报价
用友T3的价格是多少
用友软件常见快捷键
用友U816.0领域并发报价单
最新图文教程

北京用友远程维护收

T3记帐报错,违反约

医院、机关、大型企

山东客户中了[data@r

用友T+软件资产负债

T+云主机如何备份账套

用友T+备份提示磁盘

T+软件的凭证中单据

热门文章

[10-26]
[09-15]
[10-08]
[03-03]
[04-02]
[10-18]

推荐文章

相关文章

在线咨询
售后支持
  • 业务电话:010-84986180
  • 13720089039
  • 夜间值班:18910108696
  • 北京会计QQ群:6388368