Sodinokibi: ez a vírus zsarolja a világ cégeit

​A Sodinokibi.YA egy komplex zsarolóvírus, amely jelentős károkat képes előidézni a fertőzött rendszereken.
 

A Kaseya-féle támadássorozatban is szerephez jutó Sodinokibi kártékony program legújabb variánsa minden korábbinál összetettebé vált, ami miatt az ellene folytatott védekezés is nehezebb lett.
 
A zsarolóprogram először egy agent.crt fájlt hoz létre, amelyből a Windows-os certutil.exe segítségével egy agent.exe nevű fájlt bont ki. Ezt követően egy képet ment le a számítógépre, amelyet beállít az Asztal háttérképének. A károkozás pedig ezt követően veszi kezdetét. Megváltoztatja a felhasználó fiókjának jelszavát "DTrump4ever"-re, majd csökkentett módban újraindítja a számítógépet.
 
A rendszer legfontosabb paramétereinek lekérdezését követően megvizsgálja a beállított billentyűkiosztást, és ha az nem szerepel egy kivétellistán (ezen a listán elsősorban orosz, ukrán, azeri stb. kiosztások találhatók), akkor elkezdi titkosítani a fájlokat. A rendszermappákat, rendszerállományokat érintetlenül hagyja, hogy a Windows működőképes maradjon. Ugyanakkor minden dokumentumot, multimédiás állományt, adatbázist lekódol. Arról is gondoskodik, hogy az adatbázisokat különféle folyamatok ne zárolják. Ehhez leállítja egyebek mellett az Oracle és az SQL Server folyamatokat. Mindezek mellett megbénítja a biztonsági mentésekre szolgáló alkalmazások működését. A biztonsági mentéseket pedig törli.