一、概述2019年5月,安天CERT监测到了多起利用钓鱼邮件传播Sodinokibi勒索软件的事件。Sodinokibi最初由Twitter账号为Cyber Security（@GrujaRS）的独立安全研究员发现[1],而Sodinokibi这个名称是根据首次出现样本的版本信息中的文件名命名的。这种命名方式并不规范①,但由于Sodinokibi这个名称已经被广泛使用了,因此安天CERT也沿用这一

一、病毒分析近期,火绒接到用户样本反馈,收到一个较为陈旧的带有后门功能的蠕虫病毒样本,该病毒带有同花顺有效数字签名“Hithink Flush Information Network Co.,Ltd.”。该数字签名虽然有效,但是由于样本时间过于久远,数字签名所使用的数字证书已经过期。为了理清该病毒的恶意行为,我们对样本进行了详细分析。病毒文件数字签名信息,如下图所示： 病毒样本数字签名信