ransom.sodinokibi.

短生物

Ransom.Sodinokibi是针对针必威平台APP对Windows系统的ransomware系列的MalwareBytes检测名称。ransom.sodinokibi加密重要文件并要求赎金解密它们。

症状

受影响系统的用户首先注意到的通常是加密完成后的赎金通知。赎金指示也可以在桌面上看到。

感染类型和来源

ransom.sodinokibi是Ransomware，其除了在其配置文件中列出的那些之外，请加密本地驱动器上的所有文件。
我们看到ransom.sodinokibi被变种掉落trojan.malpack.gs.以前用来下降赎金。GandCrab。

目标文件的扩展名有。jpg， .jpeg， .raw， .tif， .png， .bmp， .3dm， .max， .accdb， .db， .mdb， .dwg， .dxf， .cpp， .cs， .h，，php， .asp， .rb， .java， .aaf， .aep， .aepx， .plb， .prel， .aet， .ppj， .gif，和.psd。

后果

如果没有备份，回滚系统或其他恢复加密文件的方法，受影响的系统可用，但存储在它们上的所有重要信息将无法访问。

保护

必威平台APPMalwareBytes通过使用实时保护和反ransomware签名技术来保护用户免受较低的技术，该技术监视到端点上特定位置中的特定位置的某个数据文件的文件系统活动。

必威平台APPMalwarebytes反ransomware块ransom.sodinokibi

家庭修复

必威平台APPMalwarebytes可以在没有进一步的用户交互的情况下检测和删除ransom.sodinokibi。

1. 请下载伪必威平台APP到你的桌面。
2. 双击mbsetup.exe.并按照提示安装程序。
3. 当你的时候必威平台APP伪的窗户安装完成后，该程序打开了欢迎来到Malwarebytes屏幕。必威平台APP
4. 点击开始按钮。
5. 点击扫描开始威胁扫描。
6. 点击检疫删除找到的威胁。
7. 如果出现提示完成删除过程，重新启动系统。

不过，请注意，删除这个勒索软件并不会解密你的文件。你只能从感染发生前的备份中取回你的文件。

业务补救

要使用MalwareBytes业务产品删除Ransom.Sodino必威平台APPkibi，请按照以下说明进行操作。

如何使用MalwareBytes Endpoint Protection删必威平台APP除Ransom.Sodinokibi

1. 转到Malwareb必威平台APPytes Cloud Console。
2. 允许您在机器关闭网络时调用扫描，请转至设置>政策>你的政策>一般。
3. under端点接口选项，打开：
   1. 显示Mal必威平台APPwarebytes图标在通知区域
   2. 允许用户运行威胁扫描(将自动隔离所有威胁)

如果您在MalwareBytes Endpoint Protection中没有注册的端点未知的机器，则可以使用我们的违规修复工具（MB必威平台APPBR）删除Ransom.Sodinokibi。

1. 登录你的我的帐户页面并复制许可证密钥。激活MBBR工具需要该密钥。
2. 打开云控制台。
3. 从干净和安全的机器，去端点>添加> Malwarebyte必威平台APPs违规修复。这将下载MBBR压缩包。
4. 解压缩包。
5. 访问Windows命令行提示并发出以下命令：
   MBBR寄存器-Key：
   MBBR更新
   注意:您必须将您的许可密钥替换为< prokey >。
6. 将MBBR文件夹复制到闪存驱动器。
7. 从受感染的离线机器，从闪存驱动器复制MBBR文件夹。
8. 使用以下命令开始扫描：
   MBBR Scan -full -ard -Remove -Noreboot
9. 指的是必威平台APP恶意软件入侵补救Windows管理员指南所有支持的扫描命令。

IOC.

文件哈希（SHA-256）：
F0A16B0224A24647E9E8CF2F6F4479D93C8FB540A7CA656023A41F399E6C69C2
963E31FEF7C8DB9E002C56EE30FD3CD4B240DB466BC23687979E2F161BA5606E.
E5D23A3BB61B99E227BB8CBFC0E7F1E40FEA34AAC4DCB80ACC925CFD7E3D18EC.

赎金注意:
***** - Readme.txt（其中******是5-8个随机字符）