Sodinokibi: ez a vírus zsarolja a világ cégeit

​A Sodinokibi.YA egy komplex zsarolóvírus, amely jelentős károkat képes előidézni a fertőzött rendszereken.
 

A Kaseya-féle támadássorozatban is szerephez jutó Sodinokibi kártékony program legújabb variánsa minden korábbinál összetettebé vált, ami miatt az ellene folytatott védekezés is nehezebb lett.
 
A zsarolóprogram először egy agent.crt fájlt hoz létre, amelyből a Windows-os certutil.exe segítségével egy agent.exe nevű fájlt bont ki. Ezt követően egy képet ment le a számítógépre, amelyet beállít az Asztal háttérképének. A károkozás pedig ezt követően veszi kezdetét. Megváltoztatja a felhasználó fiókjának jelszavát "DTrump4ever"-re, majd csökkentett módban újraindítja a számítógépet.
 
A rendszer legfontosabb paramétereinek lekérdezését követően megvizsgálja a beállított billentyűkiosztást, és ha az nem szerepel egy kivétellistán (ezen a listán elsősorban orosz, ukrán, azeri stb. kiosztások találhatók), akkor elkezdi titkosítani a fájlokat. A rendszermappákat, rendszerállományokat érintetlenül hagyja, hogy a Windows működőképes maradjon. Ugyanakkor minden dokumentumot, multimédiás állományt, adatbázist lekódol. Arról is gondoskodik, hogy az adatbázisokat különféle folyamatok ne zárolják. Ehhez leállítja egyebek mellett az Oracle és az SQL Server folyamatokat. Mindezek mellett megbénítja a biztonsági mentésekre szolgáló alkalmazások működését. A biztonsági mentéseket pedig törli.
 
Amikor a Sodinokibi.YA zsarolóprogram elindul, akkor az alábbi műveleteket hajtja végre:
 
1. Létrehozza a következő állományt:
%User Temp%\[véletlenszerű karakterek].bmp
agent.exe
agent.crt
 
2. Újraindítja a számítógépet csökkentett módban.
 
3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.
 
4. A regisztrációs adatbázishoz új értékeket ad hozzá:
HKEY_LOCAL_MACHINE\SOFTWARE\BlackLivesMatter\Ed7 = [...]
HKEY_LOCAL_MACHINE\SOFTWARE\BlackLivesMatter\QIeQ = [...]
HKEY_LOCAL_MACHINE\SOFTWARE\BlackLivesMatter\96Ia6 = [...]
HKEY_LOCAL_MACHINE\SOFTWARE\BlackLivesMatter\Ucr1RB = [...]
HKEY_LOCAL_MACHINE\SOFTWARE\BlackLivesMatter\wJWsTYE = [...]
HKEY_LOCAL_MACHINE\SOFTWARE\BlackLivesMatter\JmfOBvhb = [...]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*AstraZeneca = %Windows%\MsMpEng.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*MarineLePen = [bcdedit /deletevalue...]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultUserName =[...]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultPassword = DTrump4ever
 
5. Módosítja az Asztal háttérképét:
HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper = %User Temp%\[véletlenszerű karakterek].bmp
 
6. Leállítja azokat a folyamatokat, szolgáltatásokat, amelyek nevében szerepelnek az alábbi kifejezések:
backup
memtas
mepocs
sophos
sql
svc$
veeam
vss
agntsvc
dbeng50
dbsnmp
encsvc
excel
firefox
infopath
isqlplussvc
msaccess
mspub
mydesktopqos
mydesktopservice
ocautoupds
ocomm
ocssd
onenote
oracle
outlook
powerpnt
sqbcoreservice
sql
steam
synctime
tbirdconfig
thebat
thunderbird
visio
winword
wordpad
xfssvccon
 
7. Rendszerinformációkat gyűjt össze.
 
8. Leállítja a saját működését, ha az alábbi billentyűkiosztásokat észleli:
Arabic - Syria
Armenian Eastern
Azeri Cyrillic
Azeri Latin
Belarusian
Georgian
Kazakh
Kyrgyz Cyrillic
Romanian-Moldova
Russian
Russian-Moldova
Syriac
Tajik
Tatar
Turkmen
Ukranian
Uzbek Cyrillic
Uzbek Latin
 
10. Minden olyan mappából kitörli a fájlokat, amelyek neve tartalmazza a "backup" kifejezést.
 
11. Elkezdi a fájlok titkosítását. A rendszerkönyvtárakat érintetlenül hagyja.
 
12. A kompromittált állományok fájlnevét véletlenszerű kiterjesztéssel egészíti ki.
 
13. Szöveges állományokat hoz létre [a titkosítás során használt kiterjesztés]-readme.txt néven.