安全厂商披露Sodinokibi勒索软件、CinaRAT和Gh0stRAT恶意软件细节(2019.6.14)

Sodinokibi勒索软件通过带有Word文档附件的垃圾邮件传播，电子邮件假装是来自德国联邦公共法律广播机构收费中心的警告信。用户启用文档恶意宏后，将执行VBA代码，其使用冗长乱序变量和函数/子名称、编码字符串和垃圾参数进行混淆。然后将下载Sodinokibi勒索软件。新发现的远程访问木马CinaRAT，使用VMProtect打包。CinaRAT至少存在于2017年10月，之前版本名为Yggdrasil。CinaRAT基于QuasarRAT创建，但二者几乎没有差异。研究人员还发现了一个模仿G DATA图标的恶意软件Gh0stRAT。Gh0stRAT注册为服务，并使用无效证书签署。完整报告可在www.gdatasoftware.com网站下载。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识，做好日常备份（最好是异地备份），不要访问包含未知风险的网站或打开不明来历的电子邮件附件，保持开启杀毒软件实时监控功能，并持续关注我中心网站上关于勒索软件的有关资讯。

以上资讯由北京安天公司提供，国家计算机病毒应急处理中心研发部编译整理