Sodin勒索软件利用合法处理器功能逃避安全检测(2019.7.4)

卡巴斯基研究人员发现Sodin（也称为Sodinokibi和REvil）勒索软件利用CVE-2018-8453 漏洞来提升Windows中的权限，并使用合法的处理器功能来逃避安全检测。Sodin使用混合方案来加密受害者文件。文件内容使用Salsa20对称流算法加密，其密钥使用椭圆曲线非对称算法。如果在配置块中设置了相应的标志，则木马会将有关受感染计算机的信息发送到其服务器。使用另一个硬编码的公钥，还使用ECIES算法对传输的数据进行加密。在执行过程中，木马会检查系统语言和可用的键盘布局，如果在列表中检测到匹配，则恶意软件进程将终止。完整报告可在securelist.com网站下载。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识，做好日常备份（最好是异地备份），不要访问包含未知风险的网站或打开不明来历的电子邮件附件，保持开启杀毒软件实时监控功能，并持续关注我中心网站上关于勒索软件的有关资讯。

以上资讯由北京安天公司提供，国家计算机病毒应急处理中心研发部编译整理