今年六月一号，在GandCrab勒索病毒运营团队停止更新之后，就马上接管了之前GandCrab的传播渠道，经过近半年的发展，这款勒索病毒此前使用了多种传播渠道进行传播扩散，如下所示：

OracleWeblogic Server漏洞

FlashUAF漏洞

RDP攻击

垃圾邮件

水坑攻击

漏洞利用工具包和恶意广告下载（RIG Exploit Kit等）

前两天笔者生病休息了两三天，今天稍微有点好转，最近两天内有好几个朋友咨询Sodinokibi勒索病毒相关问题，是不是又有新的变种出现了？事实上笔者在11月27号的时候就曾捕获到了一批新的Sodinokibi勒索病毒的最新变种，这批Sodinokibi勒索病毒与此前捕获到的Sodinokibi勒索病毒不同，都是DLL文件，不是EXE程序，预感未来几天可能这款勒索病毒会使用进程注入的方式加载这批DLL进行传播感染，这批DLL应该就是勒索病毒团伙新生成的一批勒索病毒核心Payload，用于注入进程使用的

周日，笔者又发现在论坛上有人上传了一个Sodinokibi勒索病毒的最新的样本，如下所示：

服务器IP地址位于：俄罗斯

此勒索病毒运行之后会启动一个正常进程，笔者主机上启动是vbc.exe进程，如下所示：

针对企业的勒索病毒攻击越来越多了，具有很强的针对性，攻击手法也是多种多样，旧的勒索病毒不断变种，新型的勒索病毒又不断出现，基本上每天都有勒索病毒的变种被发现，同时经常有不同的企业被勒索病毒攻击的新闻曝光，真的是数不甚数，随着BTC等虚拟货币的流行，未来勒索病毒的攻击会不会持续增多？勒索病毒已经成为了全球网络安全最大的威胁，各企业要做好相应的防范措施，提高企业员工安全意识，以防中招

最后欢迎大家关注此微信公众号，专注于全球最新的恶意样本的分析与研究，深度追踪与解析恶意样本背后的黑色产业链，关注全球最新的安全攻击技术，及时提供全球最新最有价值的威胁情报信息，笔者有空休息的时候会不定期分享

安全的路还很长，贵在坚持，做安全的要少熬夜，注意身体......