天互数据

       近日，我们接到多个客户反馈，发现多台服务器被勒索软件加密，文件的拓展名被修改成如x0n0p94、0cojq0jx等不规则的字符串的现象。经过初步分析，我们确认该样本属于Sodinokibi家族。

       根据国外安全研究团队的披露，攻击者传播Sodinokibi勒索软件的方式，往往是通过Oracle WebLogic Server中的反序列化漏洞（CVE-2019-2725），而经过我们现场取证，发现此次攻击是通过爆破3389端口来进行传播的。

       在此，我们将公布初步的研究结果，以及用户如何防范，敬请知晓。

       预警报告信息： 
       病毒名称：Sodinokibi勒索软件 
       传播方式：Oracle WebLogic Server中的反序列化漏洞、远程桌面爆破 
       危害等级：高危 
       病毒性质：勒索软件

       病毒描述： 
       Sodinokibi勒索软件感染服务器成功后会生成文件加密后缀名+readme.txt的勒索信息，勒索信息包括个人的ID序列号，以及恶意软件作者的联系方式。有趣的是Cisco Talos团队披露的攻击者勒索信息开头显示的是“Hello Dear friend”，而此处使用的是“Welcome Again”，不排除攻击者实施攻击的过程中有二次投递勒索软件的行为。

       访问文本显示的恶意软件作者的联系方式，输入感染ID序列号和文件后缀名会跳转到如下网页。

       防范措施： 
       1.Weblogic、Apache Struts2等服务器组件及时安装安全补丁，更新到最新版本。 
       2.远程桌面避免使用弱密码，建议使用“大写字母+小写字母+数字+符号”8位以上密码。 
       3.修改远程桌面的默认端口3389，为其他5000以上端口。 
       4.对重要的数据文件定期进行非本地备份

       天互数据温馨提示：Sodinokibi勒索软件破坏力极大，请各位IT运维，金蝶、用友工程师提前做好防护工作与数据备份，保障数据、文件安全！如有问题，欢迎咨询天互数据。服务热线：029-62216222