近日，安天 CERT 在梳理網絡安全事件時發現一個名為 Sodinokibi 的勒索病毒。該勒索病毒主要通過釣魚郵件進行傳播，利用偽裝郵件主題、文件名稱、文件圖標等帶有迷惑性的內容誘導受害者進行點擊。主要攻擊對象包括商貿、科技、機關等公司或單位的人員。

        在最近的一次攻擊事件中，攻擊者向受害者發送帶有附件的釣魚郵件，釣魚郵件中攜帶惡意 word 附件，一旦受害者打開了惡意 word 附件，便會下載 Sodinokibi勒索病毒。Sodinokibi 運行后首先將自身設置為自啟動，如果被感染的機器啟用了UAC 功能，Sodinokibi 會獲取運行許可，接著加密所有非系統運行環境路徑的所有非 PE 文件，并將文件后綴改為隨機變化的后綴名來加密受害者的文件，隨后，執行命令刪除并禁用全盤所有卷影副本。最后，修改桌面背景并創建一封勒索信，勒索信中提供了付款鏈接和解密方案網址，受害者在該網址中輸入勒索信上的 key 和被加密的后綴，就會跳轉到勒索界面，勒索金額為價值 2500 美元的比特幣，如果延期兩天后付款將提高到價值 5000 美元的比特幣。

        勒索病毒給企業和個人的數據安全帶來了嚴重的威脅，一旦主機被入侵，主機中的文件都有可能被加密，而且被加密文件將難以恢復，因此防護顯得極為重要。安天建議廣大用戶，不要將數據安全立足于加密后的數據恢復，應該安裝殺毒、防毒軟件（參考安天智甲工具）并及時升級系統和修補設備漏洞；對重要的數據文件進行備份，避免弱口令的使用，避免使用統一的密碼。確保所有的計算機在使用遠程桌面服務時采取 VPN 連接等安全方式，如果業務上無需使用遠程桌面服務，建議將其關閉。

        目前，安天追影產品已經實現了對該類勒索病毒的鑒定；安天智甲已經實現了對該勒索病毒的查殺。