不需要受害者点击的勒索病毒软件

Sodin运用了CVE-2018年-8453

　　乌克兰卡巴斯基试验室的科学研究工作人员表达，她们发觉了一位为 “Sodin” 的新式勒索软件，运用了上年 8 月她们向微软公司汇报的 Windows 系统漏洞 (序号：CVE-2018年-8453)，呈现了一连串与众不同的技术性。

　　Sodin 运用 win32k.sys 在受感柒的系统软件中提高管理权限，并运用中央处理器 (CPU) 的构架来防止检验——这类作用及其下列下面详细介绍的别的特点在勒索软件中并不是普遍。

　　Sodin 勒索软件不用受害人点一下垂钓连接。

　　反过来，它的开发者/客户一般会寻找1个易受攻击的网络服务器，并上传指令下载名叫 “radm.exe” 的故意文档。这一 Windows 系统漏洞于 2018年 年 12 月 12 日被修补。针对这些沒有给安装系统傻瓜包的人而言，勒索软件的出现再度提示了她们，不管碰到了哪些挑戰，都应当优先选择升级傻瓜包。

　　该恶意程序比一般更难检验到，由于它应用了 “Heaven’s Gate”（天堂之门）技术性，使其能在 31 位运作系统进程中实行 32 位的编码。

　　由 31 位和 32 位命令组成的 shellcode

　　Sodin 还根据混和计划方案来数据加密受害人文档（文档內容应用 Salsa20 对称性流优化算法数据加密，密匙则根据非对称加密椭圆形曲线图优化算法数据加密）。

　　Sodin勒索软件是RaaS方案的部分

　　卡巴斯基表达，这一恶意程序好像是 RaaS（敲诈勒索软件即服务）方案的部分。

　　奇怪的是无论配备怎样，个人应用程序密匙都是根据另外硬编号到木马病毒体中的公钥开展数据加密的。人们把它称之为公共性wifi钥匙。数据加密結果储存在注册表中的 0_key 户下。事实上，即便沒有 sub_key 的私钥，了解公共性wifi钥匙相匹配的私钥的人可以破译受害人的文档。看上去木马程序的开发人员在优化算法中生产制造了1个系统漏洞，可以使她们不在被经销商发觉的状况下破译文档。

　　该企业的一名新闻发言人表述道：有征兆说明，恶意程序是在1个同盟內部派发散播的。例如恶意程序的开发者在恶意程序上留有了1个系统漏洞，可以使她们不在被同盟组员发觉的状况下破译文档：1个不用经销商的密匙开展破译的 “wifi钥匙”（一般经销商的密匙会用以破译受害人的文档，是付款保释金的另一半）。

　　这一作用将会被开发人员用于在受害人无意的状况下，操纵被破译的统计数据，及其勒索软件的散播。比如，根据恶意程序将同盟內部的一些经销商去除。

　　Sodin 勒索软件的大部分总体目标都会东亚地区：特别是在是中国台湾、澳门和日本。殊不知，在欧州、北美洲和南美洲也发觉了进攻恶性事件。勒索软件在受到感染的个人计算机上留有了便笺，规定每名受害人出示使用价值 3000 美金的虚拟币。

　　科学研究工作人员觉得，Sodin 应用了 Heaven’s Gate 技术性来绕开模拟仿真检验。模拟仿真互联网入侵检测技术旨在通过临时性建立与样版互动的另一半，随后剖析互动个人行为来检验数据流量中的 shellcode，这很象1个超轻巧的沙盒。