Sensational REvil Ransomware Unleashed in Italy Sends Shockwaves

扩展阅读

Sodinokibi勒索病毒(也称REvil)，2019年5月24日首次在意大利被发现，在意大利被发现使用RDP攻击的方式进行传播感染，这款病毒被称为GandCrab勒索病毒的接班人，在短短几个月的时间内，已经在全球大范围传播，这款勒索病毒与GandCrab勒索软件存在很多关联。

Sodinokibi勒索病毒是一种勒索即服务(RAAS)的模式进行分发和营销的，并采用了一些免杀技术避免安全软件检测到，主要通过Oracle WebLogic漏洞、Flash UAF漏洞、网络钓鱼邮件、RDP端口、漏洞利用工具包以及攻击一些托管服务提供商MSP等方式发起攻击。

这款勒索病毒最新的版本为2.2，增加了自启动注册表项等，同时还发现一批最新的采用PowerShell脚本进行无文件攻击的变种样本，加密后的文件后，如下所视：

攻击成功后，存储在计算机上的所有文件都被加密，并生成勒索信息文件，文件名为：[加密后缀]-readme.txt，提示受害者如何缴纳赎金获取解密工具，文件信息如下：

企业系统脆弱性是企业被勒索病毒入侵的根因，很多企业内网核心服务器虽然开启了防爆破、强密码等保护，但普通PC仍存在漏洞、弱密码、高危端口暴露等诸多问题，才给了黑客可乘之机！

勒索病毒以防为主，目前大部分勒索病毒加密后的文件都无法解密，注意日常防范措施，以尽可能避免损失。

在计算术语中，宏病毒是用宏语言编写的病毒，宏语言是嵌入软件应用程序中的编程语言。某些应用程序(如Microsoft Office、Excel、PowerPoint)允许在文档中嵌入宏程序，以便在打开文档时自动运行宏，这提供了一种独特的机制，恶意计算机指令可通过该机制传播。这是在电子邮件中打开意外附件可能很危险的原因之一。许多防病毒程序都可以检测到宏病毒；但是，宏病毒的行为仍然很难检测到。

第一个通过Microsoft Word在野外传播的宏病毒是Concept，它是在1995年7月发现的。1995年8月，微软向数百家公司运送了一张名为“微软兼容性测试”的CD-ROM，意外地将该病毒包含在光盘中。

该概念在受感染的Word文档中传播到计算机，电子邮件中附加了.doc扩展名。从那里，病毒感染了使用另存为命令保存的Word 6.0或Word 95文档的英文版本。Concept没有在受影响的计算机中执行任何破坏性操作；它只是在感染文档时在屏幕上显示一条消息。

宏是自动触发软件程序中特定功能的一系列命令。宏可以安装在Microsoft Word等程序中，以便执行程序无法自动执行的复杂任务。例如，公司可以使用宏将设计的信头或预先设计的表格自动插入到Microsoft Word页面模板中，或者使用程序本身无法提供的自定义页面格式。

宏病毒的编码具有传播能力-很像病毒感染人、自我复制并传播给其他人的方式。宏病毒可以在用户不知情或未经用户同意的情况下在计算机上复制和安装材料。如果通过垃圾电子邮件发送，它通常会自动发送给用户地址簿中的每个人。

1982年2月，Rich Skrenta以恶作剧的形式创作了 Elk Cloner ，当时他15岁，是一名高中生，编程能力早熟，对计算机有着浓厚的兴趣。引导扇区病毒是为当时占主导地位的家用电脑Apple II系统和受感染的软盘编写的。

如果一个Apple II从受感染的软盘启动，Elk Cloner就会常驻计算机内存中。只要用户键入命令目录中的文件列表，插入同一台计算机的未受感染光盘就会收到一剂恶意软件。
受感染的计算机会在每五十次从受感染的磁盘启动时显示一首同样由Skrenta写的短诗：
Elk Cloner: The program with a personality 
It will get on all your disks It will infiltrate your chips Yes it's Cloner!
It will stick to you like glue It will modify ram too Send in the Cloner!
Elk Cloner，more subtle tricks every five boots，它虽然没有造成真正的伤害，但却成功地传播开来。计算机病毒以前就已经被制造出来了，但是Skrenta的恶作剧应用程序是第一个在野外传播的，在它被制造的计算机系统或网络之外。