ក្រុមអ្នកស្រាវជ្រាវបានរកឃើញ Sodin Ransomware ថ្មីមួយ(ដែលគេស្គាល់ផងដែរថាជា Sodinokibi)។ Sodin ransomware វាយប្រហារដំបូងបានប្រទះឃើញនៅខែមេសាឆ្នាំ ២០១៩ នៅពេលដែលវាត្រូវបានចែកចាយតាមរយៈ Oracle Weblogic ដើម្បីវាយប្រហារអ្នកផ្តល់សេវា MSP ។ ឥឡូវនេះវាប្រែទៅជាទម្រង់ថ្មីមួយនៃការវាយប្រហារលើ Windows ដែលងាយរងគ្រោះដោយការកំណត់គោលដៅជនរងគ្រោះមាននៅក្នុងតំបន់អាស៊ីប៉ាស៊ីហ្វិកដូចជាតៃវ៉ាន់ ហុងកុង និងកូរ៉េខាងត្បូង។

ក្រុមអ្នកស្រាវជ្រាវបានដាក់ឈ្មោះមេរោនោះថា Trojan -Ransom.Win32.Sodin ដែលកំពុងប្រើភាពងាយរងគ្រោះនេះ (CVE-2018-8453) នៅក្នុង Win32k។ភាពងាយរងគ្រោះដែលបានរាយការណ៍ដំបូងដោយ Kaspersky ទៅ Microsoft បានជួសជុលភាពងាយរងគ្រោះនេះ នៅ ថ្ងៃទី១៧ ខែសីហា ឆ្នាំ២០១៨។

អ្នកវាយប្រហារដែលបានធ្វើអាជីវកម្មដោយជោគជ័យលើភាពងាយរងគ្រោះនេះអាចដំណើរការកូដដោយខ្លួនឯងនៅក្នុង kernel mode បន្ទាប់មកដំឡើងកម្មវិធី មើល ផ្លាស់ប្តូរ ឬលុបទិន្នន័យ ឬបង្កើតគណនីថ្មីដែលមានសិទ្ធប្រើពេញលេញ។

ដំណើរការឆ្លងមេរោគ Sodin

អ្នកវាយប្រហារបានកំណត់រចនាសម្ព័ន្ធដំបូងជាដំណាក់កាលនៃការចែកចាយ Trojan ជាមួយសំណុំដែលបានអ៊ិនគ្រីបនិងបិទកំណត់​រចនាសម្ព័ន្ធមួយចំនួនដែលមានក្នុង Settings និង Data។អ្នកវាយប្រហារបានប្រើក្បួន Salsa20 symmetric stream ដើម្បីអ៊ិនគ្រីបឯកសាររបស់ជនរងគ្រោះនិងកូនសោរសម្រាប់ដោះស្រាយឯកសារ។

នៅពេលដែល Sodin Ransomware ចាប់ផ្តើមដំណើរការអ៊ីនគ្រីបវានឹងបង្កើតកូនសោរ Asymmetric  និងកូនសោរ Symmetric នឹងអ៊ិនគ្រីបមាតិកាឯកសារជនរងគ្រោះជាមួយក្បួន Salsa20។បន្ទាប់ពី ransomware ការអ៊ិនគ្រីបឯកសារទាំងស្រុង ផ្នែកបន្ថែមថ្មីនឹងត្រូវបានអនុវត្តនៅក្នុងឯកសារនិមួយៗ។អ្នកវាយប្រហារផ្តល់ឲ្យការបង់ប្រាក់លោះដោយតាមរយះវេបសាយដែលក្នុងនោះជនរងគ្រោះរកឃើញជំហានដើម្បីទាញយកកូនសោរអ៊ិនគ្រីបដើម្បីដោះសោរឯកសារដែលបានអ៊ិនគ្រីប។