德国安全局称有黑客传播 Sodinokibi 勒索软件

德国国家网络安全机构 BSI 发布警告称，有黑客通过将电子邮件伪装成 BSI 的官方消息传播 Sodinokibi 勒索软件。

黑客将一个微软快捷方式伪装成 PDF 文件，当受害人将其打开时便会被其指向的压缩包附件感染。

一旦执行，快捷方式将使用 PowerShell 命令启动位于 http://grouphk[.]xyz/out-1308780833.hta 的远程 HTA 文件（HTML 应用程序的简称），该命令只是将 HTTP 添加到 HTA  payload 的 URL 前。

据德国安全局称，下载 Sodinokibi（也称为 REvil 和 Sodin）payload 的网址的域名和下载 HTA 文件的域名是相同的。

下载之后，Sodinokibi 将加密受害者的文件，并为每个计算机添加一个随机且唯一的扩展名。

该软件还会在所有文件夹中创建名称为“扩展名 -HOW-TO-DECRYPT.txt”的记事本文档，其中包含前往支付网站的方式和链接。

用户将会被要求支付价值 2500 美元的比特币。若超过两天仍未付款，金额将会翻倍。勒索界面还显示了用于支付的比特币地址。

Sodinokibi 还曾被卡巴斯基观察到通过利用 Windows 7 到 10 和服务器版本的 Win32k 组件中的 CVE-2018-8453 漏洞来提升其在受感染电脑中的权限。

消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼
本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接