最近发生的恶意垃圾邮件活动正在针对潜在德国受害者，其通过伪装好的垃圾邮件中附带的恶意附件分发Sodinokibi勒索软件。

Sodinokibi勒索软件，这几天处于正在活跃中，目前已知友商毫无办法。次攻击目标针对，具备WebLogic服务器的企业，卡巴斯基命名为：Trojan.Win32.DelShad.eo 病毒日期在2019年5月8号后，都可进行防御和查杀。  如果你们有Oracle Weblogic Server，请及时进行防范。

Sodinokibi 简介

攻击者利用最近公开的WebLogic漏洞安装一个名为Sodinokibi的新型勒索软件。此漏洞近期十分活跃，易被利用，因此建议服务器管理员，立即安装补丁，以防止感染或出现未经授权的访问。

Oracle Weblogic Server中发现了反序列化漏洞（CVE-2019-2725），利用这个漏洞，攻击者能够完全访问该服务器，并安装恶意软件或将其用作进一步攻击的跳板。4月26日，Oracle公司发布了这个修复补丁，请根据版本号进行安装升级，这样可以免疫受到恶意软件的侵害。

近几日，陆续收到厂商反馈，攻击者已经利用此漏洞安装了恶意软件，例如矿工、僵尸网络和现在的sodinokibi勒索软件。并根据Cisco Talos group发现攻击者还将Gandcrab5.2安装在感染的服务器上，并赚取勒索赎金。

sodinokibi勒索软件运行时，它将发出以下命令删除卷影副本并禁用Windows启动修复。

然后，它将继续对服务器上的文件进行加密。Oracle WebLogic Server是JavaEE应用服务器，是该公司的融合中间件提供服务的一部分。攻击者使用PowerShell命令下载并执行其恶意文件，并进行加密。当加密文件时，它将使用一个随机扩展名，该扩展名对于每个受感染的计算机都是唯一的。

对于扫描文件的每个文件夹，它还将创建一个以[extension]-how-to-decrypt.txt格式命名的勒索通知。这些赎金票据包含一个唯一的密钥和到支付站点的链接。

卡巴斯基售前工程师杨晋城表示：

保护自己免受sodinokibi勒索 攻击，如果您运行的是WebLogic服务器，则很有可能会受到攻击。

防范手段：

1.    立即安装Oracle的WebLogic补丁。

2.    安装卡巴斯基防护软件并更新到最新病毒库；配合waf、数据库审计进行防护。

3.    直接关闭中间件的服务。