近日，我們接到多個客戶反饋，發(fā)現(xiàn)多臺服務(wù)器被勒索軟件加密，文件的拓展名被修改成如x0n0p94、0cojq0jx等不規(guī)則的字符串的現(xiàn)象。經(jīng)過初步分析，我們確認(rèn)該樣本屬于Sodinokibi家族。

       根據(jù)國外安全研究團(tuán)隊的披露，攻擊者傳播Sodinokibi勒索軟件的方式，往往是通過Oracle WebLogic Server中的反序列化漏洞（CVE-2019-2725），而經(jīng)過我們現(xiàn)場取證，發(fā)現(xiàn)此次攻擊是通過爆破3389端口來進(jìn)行傳播的。

       在此，我們將公布初步的研究結(jié)果，以及用戶如何防范，敬請知曉。

       預(yù)警報告信息： 
       病毒名稱：Sodinokibi勒索軟件 
       傳播方式：Oracle WebLogic Server中的反序列化漏洞、遠(yuǎn)程桌面爆破 
       危害等級：高危 
       病毒性質(zhì)：勒索軟件

       病毒描述： 
       Sodinokibi勒索軟件感染服務(wù)器成功后會生成文件加密后綴名+readme.txt的勒索信息，勒索信息包括個人的ID序列號，以及惡意軟件作者的聯(lián)系方式。有趣的是Cisco Talos團(tuán)隊披露的攻擊者勒索信息開頭顯示的是“Hello Dear friend”，而此處使用的是“Welcome Again”，不排除攻擊者實施攻擊的過程中有二次投遞勒索軟件的行為。

       訪問文本顯示的惡意軟件作者的聯(lián)系方式，輸入感染ID序列號和文件后綴名會跳轉(zhuǎn)到如下網(wǎng)頁。

       防范措施： 
       1.Weblogic、Apache Struts2等服務(wù)器組件及時安裝安全補(bǔ)丁，更新到最新版本。 
       2.遠(yuǎn)程桌面避免使用弱密碼，建議使用“大寫字母+小寫字母+數(shù)字+符號”8位以上密碼。 
       3.修改遠(yuǎn)程桌面的默認(rèn)端口3389，為其他5000以上端口。 
       4.對重要的數(shù)據(jù)文件定期進(jìn)行非本地備份

       天互數(shù)據(jù)溫馨提示：Sodinokibi勒索軟件破壞力極大，請各位IT運維，金蝶、用友工程師提前做好防護(hù)工作與數(shù)據(jù)備份，保障數(shù)據(jù)、文件安全！如有問題，歡迎咨詢天互數(shù)據(jù)。服務(wù)熱線：029-62216222