近日，我們接到多個(gè)客戶反饋，發(fā)現(xiàn)多臺(tái)服務(wù)器被勒索軟件加密，文件的拓展名被修改成如x0n0p94、0cojq0jx等不規(guī)則的字符串的現(xiàn)象。經(jīng)過(guò)初步分析，我們確認(rèn)該樣本屬于Sodinokibi家族。

       根據(jù)國(guó)外安全研究團(tuán)隊(duì)的披露，攻擊者傳播Sodinokibi勒索軟件的方式，往往是通過(guò)Oracle WebLogic Server中的反序列化漏洞（CVE-2019-2725），而經(jīng)過(guò)我們現(xiàn)場(chǎng)取證，發(fā)現(xiàn)此次攻擊是通過(guò)爆破3389端口來(lái)進(jìn)行傳播的。

       在此，我們將公布初步的研究結(jié)果，以及用戶如何防范，敬請(qǐng)知曉。

       預(yù)警報(bào)告信息： 
       病毒名稱(chēng)：Sodinokibi勒索軟件 
       傳播方式：Oracle WebLogic Server中的反序列化漏洞、遠(yuǎn)程桌面爆破 
       危害等級(jí)：高危 
       病毒性質(zhì)：勒索軟件

       病毒描述： 
       Sodinokibi勒索軟件感染服務(wù)器成功后會(huì)生成文件加密后綴名+readme.txt的勒索信息，勒索信息包括個(gè)人的ID序列號(hào)，以及惡意軟件作者的聯(lián)系方式。有趣的是Cisco Talos團(tuán)隊(duì)披露的攻擊者勒索信息開(kāi)頭顯示的是“Hello Dear friend”，而此處使用的是“Welcome Again”，不排除攻擊者實(shí)施攻擊的過(guò)程中有二次投遞勒索軟件的行為。

       訪問(wèn)文本顯示的惡意軟件作者的聯(lián)系方式，輸入感染ID序列號(hào)和文件后綴名會(huì)跳轉(zhuǎn)到如下網(wǎng)頁(yè)。

       防范措施： 
       1.Weblogic、Apache Struts2等服務(wù)器組件及時(shí)安裝安全補(bǔ)丁，更新到最新版本。 
       2.遠(yuǎn)程桌面避免使用弱密碼，建議使用“大寫(xiě)字母+小寫(xiě)字母+數(shù)字+符號(hào)”8位以上密碼。 
       3.修改遠(yuǎn)程桌面的默認(rèn)端口3389，為其他5000以上端口。 
       4.對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份

       天互數(shù)據(jù)溫馨提示：Sodinokibi勒索軟件破壞力極大，請(qǐng)各位IT運(yùn)維，金蝶、用友工程師提前做好防護(hù)工作與數(shù)據(jù)備份，保障數(shù)據(jù)、文件安全！如有問(wèn)題，歡迎咨詢天互數(shù)據(jù)。服務(wù)熱線：029-62216222