勒索病毒 Coffee 新变种“卷土重来” 360 防勒索解决方案教你轻松拿捏
近日,360 数字安全集团高级威胁研究分析中心(CCTGA 勒索软件防范应对工作组成员)监测到针对我国高校与科研机构的 Coffee 勒索病毒再次出现了新变种,这是继 Coffee 勒索病毒在 2022 年 1 月首次出现后的再度 " 升级 "。
经 360 安全分析团队研判分析,新变种对加密触发方式、加密格式、远程勒索 shellcode C2 获取方式等进行了更新调整。新变种通过邮箱传播,加密过程更加隐蔽,潜伏期最多可长达 15 天,同时使用 DNS 隧道技术来获取 C2 信息,免杀能力更强,需引起高度重视和警惕。
Coffee 勒索病毒新变种的特征对比分析
据了解,相较于前期主要通过群发钓鱼邮件、QQ 群文件、QQ 自动发送等方式进行传播,Coffee 勒索病毒新变种主要通过邮箱传播,加密过程更加隐蔽。截止目前,该勒索病毒经过多次版本迭代,下图为对该勒索病毒主要两次版本变化的比较:
勒索病毒 Coffee 两次版本变化的比较
此外,新变种的加密算法和之前版本并未发生变化,仍然使用 RC4 加密,以获得快速加密的效果。新变种对触发加密的条件做了限制,使加密过程更加隐蔽!新变种还在获取远程 payload 地址的方式进行了调整,使用了 DNS 隧道的方法,在 C2 信息隐藏在了域名的 txt 记录中。同时勒索信相关的帮助链接也采用了类似的方式来进行解析更新。
在执行方面,新版病毒也使用了新的免杀手段,在白利用加载的 dll 会随机生成大小为 20-50M 的文件,以提升杀软收集样本的难度,躲避杀软查杀。病毒在运行后,会弹出假的 VC 运行库错误提示框,以迷惑用户。
Coffee 勒索病毒快速蔓延
360 防勒索整体解决方案精准出击
360 防勒索整体解决方案从 " 云、管、端、地、险 " 五个维度出发,利用 360 本地安全大脑、360 高级持续性威胁预警系统(360 NDR)、360 终端安全检测响应系统(360 EDR)等多款安全产品及 360 安全服务,帮助用户感知风险、看见威胁、抵御攻击,实现多方位、全流程、体系化的勒索防护。
360 本地安全大脑汇聚终端、流量、业务访问等全场景行为数据,通过大数据分析平台进行集中存储和快速检索,进而实现对所有可疑活动的持续监测,360 云端专家 7*24h 值守,协助研判可疑事件,快速发现、分析处置异常行为。360 本地安全大脑基于 360 EDR、360 NDR 的行为类日志开发的 XDR 分析规则可以检测 Coffee 勒索软件使用的攻击技战术,确定影响实体范围、联动 EDR 对受影响主机快速阻断进程、隔离下线,截图为检测其查询域名 DNS 设置中 TXT 记录获取 C2 地址的行为:
360 NDR 针对 Coffee 家族的勒索软件的监测主要分为流量监测和文件监测两个部分。文件监测通过还原流量中的文件,如邮件协议中的附件、HTTP 协议中传输的文件等,通过动静态虚拟沙箱检测技术,实现针对 coffee 软件的识别;360 NDR 同时结合勒索软件运行过程中产生的流量进行流量特征预警,涉及勒索软件关联的 IOC 情报数据。
360 NDR 文件检测报告截图
360 NDR 流量监测预警截图
360 EDR 针对 Coffee 家族的勒索病毒,通过主动监控功能,当用户通过 QQ、微信、邮件、共享文件夹等方式将 coffee 病毒文件在终端落地时,会进行病毒检测可以检出病毒文件;也可以通过快速查杀、定时查杀对磁盘文件进行病毒检测的时候扫描发现 coffee 病毒。
360 安全服务在防护产品自动检测扫描的基础上,进行二次检查与加固,补充安全产品能力,实现快速响应,全面发现并彻底清理客户业务主机的漏洞。同时,360 安全服务专家还可以将用户业务与云、管、端告警和情报结合,还原勒索攻击全貌,提供全面、专业的分析结论并提出针对性建设意见,确保用户防护设备可以防护此勒索病毒风险。
该病毒主要攻击高校与科研院所,用户在收到来历不明的邮件时,务必谨慎访问。360 在此提醒用户:首先,安装并使用安全软件,不随意退出防护功能;其次,谨慎打开 QQ 消息,QQ 群共享文件,以及邮件附件中的文件,打开这些文件时,如果安全软件提示拦截或报毒,切勿继续执行。目前,360 解密大师已经第一时间支持该勒索病毒解密,受到 Coffee 勒索病毒影响的用户,可尝试使用 360 解密大师解密,或联系 360 安全中心寻求帮助。同时,360 专家建议您使用 360 防勒索整体解决方案,通过 360 相关安全产品及服务,为您的安全保驾护航。
截至目前,360 防勒索解决方案已累计为超万例勒索病毒救援求助提供帮助。未来,360 将继续完善防勒索解决方案,赋能更多用户感知风险、看见威胁、抵御攻击,筑牢数字安全屏障,护航数字经济发展。
最近更新热点资讯
- 谷歌AI聊天记录让网友San值狂掉:研究员走火入魔认为它已具备人格,被罚带薪休假
- 豆瓣9.4,姐弟恋、三人行,这部大尺度太厉害
- Genes, Intelligence, Racial Hygiene, Gen
- 【土耳其电影】《冬眠》电影评价: 宛如一部回归伯格曼风格的道德剧
- 陌生人社会伦理问题研究
- 理论研究|前海实践的价值理性和工具理性
- 澳门刑事证据禁止规则
- 综艺普及剧本杀和密室逃脱助力线下实体店爆发式增长
- 日本小伙和五个小姐姐同居?看完我酸了!
- 第一学期高一语文考试期中试卷
- 高中必考的物理公式有哪些
- 这部大尺度的申奥片,却讲述了不lun恋...
- 心理语言学论文精品(七篇)
- 《贵妃还乡》 超清
- 专论 | 郭丹彤、陈嘉琪:古代埃及书信中的玛阿特观念
- 微专业招生 | 数字文化传播微专业列车即将发车,沿途课程抢先看!
- 生态安全的重要性汇总十篇
- 原创因“18禁”电影登舆论顶峰,万千少女一场春梦:这一生,足够了
- 章鱼头
- 读书心得体会
- 考研考北京大学医学部或者协和是一种怎样的难度?
- 央媒评女主播编造“夜宿故宫”:让肇事者付出代价,理所应当
- 库欣病患者求医记(流水账)
- 《太平公主》④ | 地位越高,越要装傻
- 爱体检 安卓版 v2.5