Sodinokibi勒索病毒

Sodinokibi勒索病毒又称REvil，自从2019年6月1日，GandCrab勒索病毒运营团伙宣布停止运营之后，Sodinokibi勒索病毒马上接管了GandCrab的大部分传播渠道，同时它也被称为是GandCrab勒索病毒的“接班人”，两者有着一些密不可分的联系

这款勒索病毒全球首次发现于2019年4月26日，在某社交网站上，国外某独立安全研究员(专注于恶意软件研究)发现了一款新型的勒索病毒，并取名为Sodinokibi勒索病毒，并于2019年4月27日在某社交视频网站上发布了该勒索病毒的攻击演示视频，如下所示：

笔者此前写过一篇文章《威胁情报：揭密全球最大勒索病毒GandCrab勒索病毒的接班人》，里面有完整的记录与详细过程，在首次分析这款新型勒索病毒的过程中，就预感这款勒索病毒未来可能会像GandCrab一样流行起来，这可能是一种职业嗅觉，经过半年发展的，Sodinokibi勒索病毒果然成为了2019年十大流行勒索病毒家族之一，而且在全球范围内都非常流行，我曾一度怀疑这款勒索病毒的背后运营团伙就是GandCrab勒索病毒运营团伙里的部分人员，也可能只是GandCrab的开发者和部分运营人员退休了，替而代之的是后面Sodinokibi开发者和运营人员

图片来源于网络

Sodinokibi勒索病毒的传播渠道非常多，目前已经发现的一些传播方式，如下所示：

2020年1月16日，一个朋友公司被这款勒索病毒加密了，勒索病毒相关提示信息，如下所示：

解密网站信息，如下所示：

2019年12月20日左右，跟踪发现此勒索病毒运营团队在年底的时候更新了2019年的最后一个Sodinokibi勒索病毒的变种版本，从获取的样本得到的PDB信息为

D:\Coding\!av\BTDF\17с\bin\Debug\rwenc_exe_x86_debug.pdb，估计是为免杀处理进行了版本更新

最近一段时间，很多朋友通过微信找到我，咨询一些勒索病毒相关问题，其中大部分都是中了Sodinokibi勒索病毒，Sodinokibi勒索病毒运营团伙在半年多的时间里，似乎一直没有停止过发起各种攻击，使用各种不同的传播渠道，非常活跃，提醒各企业要做好相应的防范措施，提高安全意识

此前笔者曾通过相关渠道捕获到这款勒索病毒的几个解密工具，Sodinokibi勒索病毒解密工具1.1版本，如下所示：

Sodinokibi勒索病毒解密工具1.3版本，如下所示：

Sodinokibi勒索病毒解密工具1.6版本，如下所示：

1.1版本和1.6版本都只能解密一个加密后缀

1.3版本通过一个密钥文件列表可以解密一千七百多个加密后缀

最新的这款勒索病毒的解密工具已经更新到了2.0版本，当受害者交付赎金之后，勒索病毒的运营团伙会通过加密后缀生成一个对应的解密工具，一一对应，一个解密工具只能解密一个加密后缀，这款勒索病毒是使用RAAS模式分发的，到目前为止，其不同的加密后缀变种已经多达几千种之多，近期发现的大部分最新的变种都是无法解密的

最近一段时间又发现了两例这款勒索病毒的最新变种，其生成的勒索提示文件发生了变化，如下：

旧版本的Sodinokibi勒索病毒，提示文件名：

[随机加密后缀]-readme.txt

[随机加密后缀]-HOW-TO-DECRYPT.txt

新发现的Sodinokibi勒索病毒变种，增加了如下两种提示文件名：

How to decrypt [随机加密后缀]-readme.txt

[随机加密后缀]-HOW TO BACK YOUR FILES GL-IM.txt

2019年勒索病毒已经被认定为全球最大的网络安全威胁之一，2020年勒索病毒攻击又将如何变化？

2020年勒索病毒发展趋势预测

安全的路很长，贵在坚持！