1        概述

近期，安天CERT（CCTGA勒索软件防范应对工作组成员）发现与网络安全公司同名的Sophos^[1]勒索软件，网络安全公司Sophos发表声明称与该勒索软件并无关系。

Sophos勒索软件被发现于2023年7月，其攻击载荷通过Rust编程语言开发，经分析发现，样本库文件路径中带有Dubinin字样，猜测可能为载荷开发人员的相关信息，该勒索软件勒索信格式和添加后缀名的逻辑与Phobos^[2]勒索软件较为相似。Sophos勒索软件执行流程不完善，截至发稿前暂未发现受害者信息，结合多种原因，猜测该勒索软件当前处于测试阶段，尚未投入正式攻击活动。

表 1‑1 Sophos勒索软件概览

此前也有借名网络安全厂商的Cylance勒索软件，该勒索软件被发现于2023年3月，与BlackBerry（黑莓）旗下网络安全公司Cylance同名，暂未发现大量攻击活动。经分析发现，Cylance勒索软件部分代码段与REvil（又名Sodinokibi）^[3][4]勒索软件较为相似，二者都通过特定参数执行勒索软件载荷，猜测可能是REvil勒索软件组织成员创建的新勒索软件或是REvil勒索软件更名。

表 1‑2 Cylance勒索软件概览

经验证，安天智甲终端防御系统（简称IEP）、安天智甲云主机安全监测系统、安天智甲容器安全检测系统均可实现对Sophos和Cylance勒索软件的有效查杀。

2        防护建议

应对勒索软件攻击，安天建议个人及企业采取如下防护措施：

2.1        个人防护

1. 提升网络安全意识：保持良好用网习惯，积极学习网络安全相关知识；
2. 安装终端防护：安装反病毒软件。建议安天智甲用户开启勒索病毒防御工具模块（默认开启）；
3. 加强口令强度：避免使用弱口令，建议使用16位或更长的密码，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令；
4. 定期更改口令：定期更改系统口令，避免出现口令泄露导致系统遭到入侵；
5. 及时更新补丁：建议开启自动更新安装系统补丁，服务器、数据库、中间件等易受攻击部分应及时更新系统补丁；
6. 关闭高危端口：对外服务采取最小化原则，如无使用需要，建议关闭135、139、445和3389等高危端口；
7. 关闭PowerShell：如不使用PowerShell命令行工具，建议将其关闭；
8. 定期数据备份：定期对重要文件进行数据备份，备份数据应与主机隔离。

2.2        企业防护

1. 网络安全培训与安全演练：定期开展网络安全培训与安全演练，提高员工网络安全意识；
2. 安装终端防护：安装反病毒软件，针对不同平台建议安装安天智甲终端防御系统；
3. 及时更新补丁：建议开启自动更新安装系统补丁，服务器、数据库、中间件等易受攻击部分应及时更新系统补丁；
4. 开启日志：开启关键日志收集功能（安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志和Cookie日志），为安全事件的追踪溯源提供基础；
5. 设置IP白名单规则：配置高级安全Windows防火墙，设置远程桌面连接的入站规则，将使用的IP地址或IP地址范围加入规则中，阻止规则外IP进行暴力破解；
6. 主机加固：对系统进行渗透测试及安全加固；
7. 部署入侵检测系统（IDS）：部署流量监控类软件或设备，便于对勒索软件的发现与追踪溯源。安天探海威胁检测系统（PTD）以网络流量为检测分析对象，能精准检测出已知海量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各类未知威胁；
8. 灾备预案：建立安全灾备预案，安全事件发生时确保备份业务系统可以快速启用；
9. 安天服务：若遭受勒索软件攻击，建议及时断网，并保护现场等待安全工程师对计算机进行排查。安天7*24小时服务热线：400-840-9234。

经验证，安天智甲终端防御系统（简称IEP）、安天智甲云主机安全监测系统、安天智甲容器安全检测系统均可实现对Sophos和Cylance勒索软件的有效查杀。

图 2‑1 安天智甲可实现对Sophos勒索软件的有效查杀

图 2‑2 安天智甲可实现对Cylance勒索软件的有效查杀

3        应急处置建议

当机器感染勒索软件后，不要惊慌，可立即开展以下应急工作，降低勒索软件产生的危害：隔离网络、分类处置、及时报告、排查加固、专业服务。

1. 首先要将感染勒索软件的机器断网，防止勒索软件进行横向传播继续感染局域网中的其他机器。
2. 不要重启机器，个别勒索软件的编写存在逻辑问题，在不重启的情况下有找回部分被加密文件的可能。
3. 不要急于重做系统、格式化硬盘等破坏加密文档行为。先备份加密后的文档，被加密后带后缀的文件不具有传染性，可复制到任意计算机上做备份保存，但是恢复的可能性极小。可以根据情况考虑是否等待解密方案，有小部分勒索软件的解密工具会由于各种原因被放出。
4. 虽然可以从后缀名、勒索信等信息判断出勒索软件家族类型。但由于暂时缺失勒索软件在用户网络内如何加密、传播的具体过程，仍无法准确判断其类型。虽然可以从威胁情报库中获取功能相似的病毒样本，通过模拟感染过程来确认，但在感染过程、感染源头的定位还需要细化，建议通过现场安全服务的形式进行定位、溯源。

4        技术梳理

4.1        Sophos勒索软件

Sophos勒索软件载荷执行时可以发现如下图所示的内容，包括载荷版本、受害者设备ID、联系方式和加密方式等内容，攻击者可以自定义邮箱地址、Jabber通讯地址和用于加密的密钥，图中所示当前为0.0.9版本。

图 4‑1 载荷自定义执行界面

文件属性中可以看到与勒索软件载荷相关的描述信息。

图 4‑2 载荷文件属性

分析时发现两个版本的样本库文件路径中均带有Dubinin字样。

图 4‑3 库文件路径

联网下载硬编码地址中的图片文件。

图 4‑4 联网下载图片

联网下载成功后，图片用于修改桌面背景。

图 4‑5 修改桌面背景

通过关联分析发现Tor站点，访问后发现并非是数据泄露站点，猜测为攻击组织成员登录的管理界面。

图 4‑6 Tor站点信息

执行加密操作前，会终止特定进程，避免干扰加密流程执行，具体进程名如下表所示：

表 4‑1 结束的进程列表

执行加密操作时，会绕过特定文件夹，具体文件夹名如下表所示：

表 4‑2 绕过的文件夹列表

执行加密操作时，会绕过特定扩展名文件，具体扩展名如下表所示：

表 4‑3 绕过的扩展名列表

删除卷影备份，避免通过卷影备份恢复文件。

图 4‑7 删除卷影备份

生成名为information.hta的勒索信。

图 4‑8 生成勒索信

在被加密文件结尾添加.[[数字+字母组合而成的8位设备ID]].[[邮箱地址]].sophos格式的后缀，例如：test.doc.[[1a2b3c4d]].[[test@aaa.com]].sophos

图 4‑9 被加密文件后缀

4.2        Cylance勒索软件

Cylance勒索软件载荷支持通过特定参数执行。

图 4‑10 参数执行

创建名为CylanceMutex的互斥量，避免载荷重复执行。

图 4‑11 创建互斥量

创建名为Windows Update BETA的计划任务实现持久化。

图 4‑12 创建计划任务

执行加密操作时，会绕过特定文件名，具体文件名如下表所示：

表 4‑4 绕过特定文件名

执行加密操作时，会绕过特定文件扩展名，具体扩展名如下表所示：

表 4‑5 绕过特定文件扩展名

执行加密操作时，会绕过特定文件夹，具体文件夹名称如下表所示：

表 4‑6 绕过特定文件夹

执行加密操作时，必定加密带有特定文件扩展名的文件，具体文件扩展名如下表所示：

表 4‑7 必定加密的文件扩展名列表

生成名为CYLANCE_README.txt的勒索信，勒索信内容如下所示：

图 4‑13 生成勒索信

在被加密文件结尾添加.Cylance后缀，例如：test.doc.Cylance

图 4‑14 被加密文件后缀

5        IoCs

附录：参考资料

• Sophos Discovers Ransomware Abusing “Sophos” Name

https://news.sophos.com/en-us/2023/07/18/sophos-discovers-ransomware-abusing-sophos-name/

• Phobos勒索软件变种分析报告

https://www.antiy.cn/research/notice&report/research_report/20191016.html

• 勒索软件Sodinokibi运营组织的关联分析

https://www.antiy.cn/research/notice&report/research_report/20190628.html

• Sodinokibi/REvil勒索组织近期活动梳理与最新样本分析

https://www.antiy.cn/research/notice&report/research_report/20210918.html