Sodinokibi勒索软件通过垃圾邮件分发

稿源：MottoIN 2019-06-03 22:09:49

最近发生的恶意垃圾邮件活动正在针对潜在德国受害者，其通过伪装好的垃圾邮件中附带的恶意附件分发Sodinokibi勒索软件。

这些垃圾邮件以“Ankündigung der Zwangsvollstrecung（丧失抵押品赎回权通知）”为主题，试图欺骗潜在的受害者点击该邮件，借此执行恶意附件。

在要求受害者允许宏访问文档内容后，其中名为Mahnbescheid-Antwortbogen-Aktenzeichen 4650969334.doc的恶意附件将使用基于模糊VBA的宏将Sodinokibi勒索软件下载到%temp%\microsoft-Word.exe。

随后，Sodinokibi勒索软件将被部署到受感染设备中，并自行启动。若设备启动了UAC，则首先请求允许允许。

完整的垃圾邮件内容如下所示：

邮件大意为：根据《XX条款》，您缴费账户的欠款为21350欧元，详情见附件。如不在5天内缴清欠款，将取消您的抵押品赎回权。总之，就是利用这些诱饵邮件，欺骗收件人点击恶意附件。

此恶意垃圾邮件活动分发的电子邮件示例和包含基于VBA的恶意软件下载器的示例Word文档的截图如下：

电子邮件和附件示例

在执行Sodinokibi勒索软件之后，它将运行以下命令来禁用Windows启动修复和删除阴影卷副本。

然后，该勒索软件将在每一台受感染设备上使用唯一、随机的扩展名加密设备上的文件。

Sodinokibi加密文件

对于其扫描到的所有文件夹，恶意软件还将创建以[extension]-HOW-TO-DECRYPT.txt格式命名的勒索通知，其中包含前往付款网站的唯一密钥和链接。

Sodinokibi勒索通知

当受害者访问该付款网站时，他们将被要求输入唯一拓展名和密钥。提交所需信息后，受害者将跳转到另一个页面，显示了付款地址和赎金金额——2500美元价值的比特币，两天后翻倍成5000美元。

Tor付款网站

暂无