2019 年 5 月，安天 CERT 監測到了多 起利用釣魚郵件傳播 Sodinokibi 勒索軟件 的 事 件。Sodinokibi 從 2019 年 4 月 26 日 開始出現，其傳播方式主要為釣魚郵件、 RDP 暴力破解和漏洞利用。該勒索軟件運 行后，嘗試加密磁盤中的文件（不加密羅 馬尼亞語、俄羅斯語、烏克蘭語、白俄羅 斯語、愛沙尼亞語等語言的操作系統）； 修改桌面背景并創建一封勒索信，勒索信 中提供了付款和解密網站，該網站需要提 交勒索信中的 Key 和加密后綴才可以訪問。 提交后進入到解密界面，勒索者向受害者 勒索價值 1300 美元的比特幣，若受害者不 在 7 天內支付則贖金價格翻倍。

      安天 CERT 分析人員通過代碼、C2、郵件、漏洞利用等關聯分析認為該勒索軟 件團伙是一個不斷套用、利用其他現有惡 意工具作為攻擊載體，傳播勒索軟件、挖 礦木馬、竊密程序，并在全球范圍內實施 普遍性、非針對性勒索、挖礦、竊密行為 的具有一定規模的黑產組織。該組織和 GandCrab 組織有著千絲萬縷的關系，分析 人員猜測 Sodinokibi 和 GandCrab 運營成員 有重合部分，在 GandCrab 組織宣布停止 運營之后，部分 GandCrab 成員不愿收手， 繼續運營新修改的勒索軟件 Sodinokibi。

、       勒索病毒給企業和個人的數據安全帶 來了嚴重的威脅，一旦主機被入侵，主機 中的文件都有可能被加密，而且被加密文 件將難以恢復，因此防護顯得極為重要。安天建議廣大用戶，不要將數據安全立足 于加密后的數據恢復，應該安裝殺毒、防 毒軟件（參考安天智甲工具）并及時升級 系統和修補設備漏洞；對重要的數據文件 進行備份，避免弱口令的使用，避免使用 統一的密碼。確保所有的計算機在使用遠 程桌面服務時采取 VPN 連接等安全方式， 如果業務上無需使用遠程桌面服務，建議 將其關閉。

      目前，安天追影產品已經實現了對該 類惡意代碼的鑒定；安天智甲已經實現了 對該惡意代碼的查殺。