Sodinokibi勒索病毒

Sodinokibi勒索病毒又称REvil，自从2019年6月1日，GandCrab勒索病毒运营团伙宣布停止运营之后，Sodinokibi勒索病毒马上接管了GandCrab的大部分传播渠道，同时它也被称为是GandCrab勒索病毒的“接班人”，两者有着一些密不可分的联系。

这款勒索病毒全球首次发现于2019年4月26日，在某社交网站上，国外某独立安全研究员(专注于恶意软件研究)发现了一款新型的勒索病毒，并取名为Sodinokibi勒索病毒，并于2019年4月27日在某社交视频网站上发布了该勒索病毒的攻击演示视频，如下所示：

笔者此前写过一篇文章《威胁情报：揭密全球最大勒索病毒GandCrab勒索病毒的接班人》，里面有完整的记录与详细过程，在首次分析这款新型勒索病毒的过程中，就预感这款勒索病毒未来可能会像GandCrab一样流行起来，这可能是一种职业嗅觉，经过半年发展的，Sodinokibi勒索病毒果然成为了2019年十大流行勒索病毒家族之一，而且在全球范围内都非常流行，我曾一度怀疑这款勒索病毒的背后运营团伙就是GandCrab勒索病毒运营团伙里的部分人员，也可能只是GandCrab的开发者和部分运营人员退休了，替而代之的是后面Sodinokibi开发者和运营人员

Sodinokibi勒索病毒的传播渠道非常多，目前已经发现的一些传播方式，如下所示：

2020年1月16日，一个朋友公司被这款勒索病毒加密了，勒索病毒相关提示信息，如下所示：

解密网站信息，如下所示：

2019年12月20日左右，跟踪发现此勒索病毒运营团队在年底的时候更新了2019年的最后一个Sodinokibi勒索病毒的变种版本，从获取的样本得到的PDB信息为

D:\Coding\!av\BTDF\17с\bin\Debug\rwenc_exe_x86_debug.pdb，估计是为免杀处理进行了版本更新

最近一段时间，很多朋友通过微信找到我，咨询一些勒索病毒相关问题，其中大部分都是中了Sodinokibi勒索病毒，Sodinokibi勒索病毒运营团伙在半年多的时间里，似乎一直没有停止过发起各种攻击，使用各种不同的传播渠道，非常活跃，提醒各企业要做好相应的防范措施，提高安全意识

此前笔者曾通过相关渠道捕获到这款勒索病毒的几个解密工具，Sodinokibi勒索病毒解密工具1.1版本，如下所示：

Sodinokibi勒索病毒解密工具1.3版本，如下所示：

Sodinokibi勒索病毒解密工具1.6版本，如下所示：

1.1版本和1.6版本都只能解密一个加密后缀

1.3版本通过一个密钥文件列表可以解密一千七百多个加密后缀

最新的这款勒索病毒的解密工具已经更新到了2.0版本，当受害者交付赎金之后，勒索病毒的运营团伙会通过加密后缀生成一个对应的解密工具，一一对应，一个解密工具只能解密一个加密后缀，这款勒索病毒是使用RAAS模式分发的，到目前为止，其不同的加密后缀变种已经多达几千种之多，近期发现的大部分最新的变种都是无法解密的

最近一段时间又发现了两例这款勒索病毒的最新变种，其生成的勒索提示文件发生了变化，如下：

旧版本的Sodinokibi勒索病毒，提示文件名：

[随机加密后缀]-readme.txt

[随机加密后缀]-HOW-TO-DECRYPT.txt

新发现的Sodinokibi勒索病毒变种，增加了如下两种提示文件名：

How to decrypt [随机加密后缀]-readme.txt

[随机加密后缀]-HOW TO BACK YOUR FILES GL-IM.txt

勒索病毒发展趋势预测

1.在2020年刚刚过去的二个月时间里，笔者监控到各种新型勒索病毒已经不断涌现，未来可能会有更多成熟的或新的黑客组织加入进来，开发传播新的勒索病毒，同时国外一些主流的勒索病毒运营团队去年年底就已经开始在国内寻找勒索病毒分销运营商，今年可能会出现一些国内勒索病毒的运营商，他们通过暗网与国外运营商进行合作，进行勒索病毒的分发传播，谋取暴利。

2.已知主流的几款勒索病毒都已开始通过公布受害者数据逼迫受害者支付赎金，今年会不会有更多的勒索病毒运营团伙采用这种运营方式来强迫受害者交付赎金。

3.企业数据安全已经成为未来网络安全行业最重要的关注方向，今年针对企业的勒索病毒攻击可能会更多，同时各种新型的窃密木马会随着勒索病毒一起下发，窃取企业数据，通过“勒索+窃取”两种方式对企业的重要数据进行攻击，有报道指出在全球数据泄露的安全事件中，大部分是通过恶意软件进行网络攻击造成的。

4.勒索病毒运营团队会把更多的目光转向针对云服务器提供商或运营商，对云上的数据进行加密勒索，针对Windows服务器和 Linux平台上的勒索病毒今年可能会增多，目前发现的大部分Linux平台勒索病毒大多数使用GO语言进行开发。