分類: 勒索病毒/勒索軟體

Sodinokibi勒索病毒（被偵測為Ransom.Win32.SODINOKIBI）在2019年參與了一些高調的攻擊活動，在年底時更聲勢浩大地針對多個組織進行新一波的攻擊，包括了紐約的奧爾巴尼國際機場及外匯交易公司 Travelex。

奧爾巴尼國際機場在聖誕節遭受攻擊 聲稱贖金“不到六位數”

紐約的奧爾巴尼國際機場（ALB）發出聲明指出自己的系統遭受到勒索病毒入侵破壞，被證實是Sodinokibi的變種。這起發生在12月25日的攻擊讓機場工作人員沒有辦法好好享受節日，因為它加密了管理文件，幸運的是個人和財務資料仍得以倖免。此外，這次攻擊並未對機場運作造成重大影響。攻擊是在駭客入侵ALB的託管服務商LogicalNet網路後進行。勒索病毒很快就從那裡散播到機場的網路和備用伺服器。

在五天之後，ALB 的保險服務商支付了贖金，官員聲稱贖金“不到六位數”。

近日出現兩隻值得注意的勒索病毒 Ransomware (勒索軟體/綁架病毒) – Snatch和Zeppelin。Snatch勒索病毒可以強迫Windows電腦重新啟動進入安全模式。而Zeppelin勒索病毒則感染了歐洲和美國的醫療和IT公司。

Snatch勒索病毒重啟電腦進入安全模式來躲避安全防護

Snatch會重新啟動受感染電腦進入安全模式來繞過安全軟體以加密檔案而不被偵測。這樣做的原因是安全軟體通常不會在Windows安全模式下執行，因為此模式是用來除錯和回復有問題的作業系統（OS）。

研究人員發現勒索病毒作者利用Windows登錄檔來排程一個名為SuperBackupMan的Windows服務，此服務可以在安全模式下執行，無法被停止或暫停。此惡意軟體甚至會進一步刪除系統上所有的磁碟區陰影複製來防止鑑識回復加密檔案。

Snatch勒索病毒最早於2018年被發現，它的目標並不是家庭使用者，也沒有利用垃圾郵件或瀏覽器漏洞等大規模散播方式。此惡意軟體操作者只專注在小部分的目標，包括公司和政府組織。操作者還會在駭客論壇上招募駭客來從目標組織竊取資訊。

Zeppelin勒索病毒針對歐洲和美國的醫療和IT公司

Zeppelin是VegaLocker/Buran勒索病毒的新變種，被發現會透過針對性安裝感染位於歐洲和美國的公司。根據BlackBerry Cylance的報導，Zeppelin勒索病毒屬於勒索病毒即服務（RaaS）模式，被發現感染了某些醫療和IT公司。