恶意家族名称:
Coffee
威胁类型:
勒索病毒
简单描述:
近日,深盾终端实验室收到用户反馈,点击钓鱼邮件之后主机文件被加密。经过安全人员分析,确认该病毒为Coffee勒索病毒变种。
事件分析
1.事件概况
Coffee 勒索病毒最早出现于今年 2 月份,通过钓鱼邮件、QQ 群附件等形式传播。本次变种继续沿用钓鱼邮件形式传播,从附件名称可以看出该病毒具备较强的针对性,主要目标为国内高校及科研机构。
2.新老版本对比
该版本与老版本相似,仍是采用 RC4 算法,为了提高加密速度,仅加密文件前面 2MB 字节。不同的是,老版本会将随机生成的 RC4 密钥加密保存到本地,安全人员可通过读取该密钥,对被加密的文件进行解密。而在新版本中黑客不再留下 RC4 密钥,而留下了另一封文档文件:”God, please forgive me.”。虽然新版本修复了遗留 RC4 密钥的 bug,但百密一疏,安全人员还是通过其他方式获取到了解密文件的方法。
3.样本分析
钓鱼邮件附件中包含恶意快捷方式以及隐藏的”白+黑”样本,通过诱导用户点击恶意快捷方式运行隐藏文件夹中的 ctfmon.exe 程序。
ctfmon.exe 是一款名叫”雨课堂”的正常软件,在运行过程中会自动加载 RainData.dll。黑客通过替换 RainData.dll 文件运行恶意代码。
RainData.dll 是一个经过混淆的文件。为隐藏自身,该程序在运行过程中会将 exe 和 dll 复制到 Roaming 文件夹再执行,并将 exe 文件伪装成 RuntimeBroker.exe。
随后下载并解压 RTLib.dll 文件,通过动态加载方式执行该 dll。
在 RTLib.dll 中获取 RSA 公钥、加密的文件类型、不加密的文件路径、需要停止的服务列表。
判断是否锁屏、是否执行注销或关机操作、是否达到一定的潜伏期,若满足三项之一则继续往下执行加密。
为了保证加密正常运行,根据列表中的服务名单停止服务。
随机生成 8 字节的 RC4 密钥,并通过 RSA 对其加密进行保存。
写入”God, please forgive me.”字符串到文件中,值得一提的是在老版本 Coffee 病毒中该文件保存的是随机生成的 RC4 密钥,新版本替换成了该字符串。
遍历本地磁盘文件进行加密,在遍历过程中会通过白名单列表排除部分文件夹,并通过列表选择需要加密的文件类型。
继续沿用 RC4 算法对文件进行加密,且为了加快加密速度仅加密文件的前面 2MB 内容。
4.解密工具
目前深盾终端实验室已提供解密工具供下载使用,如不幸感染该病毒可前往: https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=240999 下载解密工具进行解密。
解决方案
1.终端加固建议
1. 定期进行非本地备份,对重要资料应设置相应的访问权限,关闭不必要的文件共享;
2. 主机设置高强度密码,不同主机勿使用相同或相似密码,非必要勿将对外网映射3389断开;
3. 避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;
4. 安装信誉良好的防病毒软件,定期对主机进行全盘查杀,并及时升级打补丁。
2.深信服解决方案
【深信服终端安全管理系统EDR】基于勒索病毒入侵攻击链提供4层勒索入侵预防,6级勒索反加密防护,5项勒索检测与响应机制,从事前防御-事中响应-事后溯源三个方面为终端构建全面的勒索防护体系,轻松抵御勒索入侵。
深信服EDR在新版本中引入多智能体模型算法推荐架构,根据最新病毒的定制化特征,选取最优训练算法,增强AI泛化能力,对可疑文件进行AI检测,提升EDR对未知勒索威胁的检测能力。
【深信服勒索理赔服务】深信服与专业保险机构联合推出针对勒索病毒的理赔服务,为客户快速解决勒索赎金损失,尽快恢复数据和业务,降低勒索的影响和业务。
【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服云平台,“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入云图,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。
原文始发于微信公众号(深信服千里目安全技术中心):【勒索防护】百密一疏,Coffee勒索新变种仍可解密
