下一代新型勒索软件Kalxat，针对Windows服务器发起攻击

新一代勒索问世

近期，360反勒索服务团队接到多起关于Kalxat勒索软件攻击的反馈。经分析发现，这种新型勒索软件拥有非常高效的文件加密机制，并可以多级动态调整加密策略，具备大量配置与扩展属性，属于新一代的先进勒索软件。根据受害者反馈，Kalxat会在系统中悄然加密各类文件，并将其扩展名修改为".kalxat"，同时留下勒索信息，要求支付赎金以获取解密工具。

在入侵传播方面，Kalxat则表现出了明显的定向攻击特征。该勒索软件主要针对Windows服务器发起攻击。其加密策略也是针对服务器上的关键数据——如数据库文件，进行完整的全量加密。而对于其他非关键文件，其采用部分加密策略，以加快整体加密速度。此外，该勒索软件还会执行一系列系统操作，包括大量修改注册表项、禁用Windows Defender、清除系统事件日志和安全日志等，以规避安全检测并确保攻击成功。

Kalxat采用了高度模块化的设计：勒索信内容、加密文件扩展名、RSA公钥等关键参数，均通过独立的配置文件进行配置。这也使攻击者可以轻松地为不同目标进行不同版本的定制化攻击，同时也增加了安全研究人员的分析难度。这种设计使得Kalxat具有较强的变种生成能力，各个攻击实例可能展现出不同的行为特征，并且采用了双重RSA架构。这些操作表明，Kalxat是一款精心设计的、针对企业服务器环境的高级勒索软件。

Kalxat技术详解

软件概述

本文将对捕获到的Kalxat勒索软件样本进行技术分析，剖析其加密算法、加密逻辑和密钥管理方式等细节。

表1. Kalxat勒索软件家族特性概览

在测试环境中，被加密后的典型文档目录如下：

图1. 测试环境中的被加密文档目录 

前置预备操作解析

该勒索在开始运行后，会通过lzma算法动态释放其勒索代码，该流程的详情如下：

图2. Kalxat勒索软件动态释放勒索模块流程示意图 

最终，被释放出的勒索代码载荷会加载同目录下encry_开头的密钥配置文件，如果不存在此文件或者文件内容格式不对，勒索软件便不会再进行后续的攻击操作。我们根据其算法逻辑生成了一份密钥配置，示例如下图所示：

图3. 密钥配置文件示意图

该配置文件中，包含了勒索软件加密所需的文件后缀、勒索信息以及加密密钥等重要功能性数据。经技术分析，该配置文件的文件数据结构如下图所示：

图4. Kalxat密钥配置文件数据结构示意图 

勒索软件在准备妥当后会正式运行。其启动后会包含多个检查条件，只有在满足特定条件时，才会执行核心的勒索功能代码：

一、检查是否存在一个名为“no_start”的文件，如存在则退出；

二、检查运行时间，仅在2025年1月~10月期间执行。时间区域外则直接退出；

三、检查系统语言区域，如果属于某些特定国家则退出。具体国家为：俄罗斯、白俄罗斯、乌克兰、乌兹别克斯坦、哈萨克斯坦、塔吉克斯坦、格鲁吉亚、吉尔吉斯斯坦、土库曼斯坦。

此外，在勒索软件开始加密前还会执行修改注册表及各种清空记录、日志等命令：

图5. 勒索软件启动后的注册表操作

对注册表操作后，还会执行特定Powershell命令，其主要功能为关闭各类安全防护及虚拟机软件，同时清理各类防护日志：

图6. 勒索软件启动后执行的Powershell命令

此后，软件会清理系统的远程桌面协议（RDP）记录：

图7. 勒索软件启动后清理RDP记录 

调用Cipher /w命令擦除并复写已删除文件的剩余痕迹记录，防止数据恢复，并设置2小时后重启机器：

图8. 清除已删除文件痕迹 

接着，勒索软件还会尝试结束特定安全软件、Web、数据库软件进程，并删除所有系统恢复点，以及禁用系统中自带的安全防护软件Windows Defender：

图9. 关闭各类软件、删除恢复点并禁用Windows Defender 

最后，Kalxat会停止特定服务，这些服务主要是各类数据库软件。停止这些服务，可以避免勒索软件对数据库文件进行加密时，遭到数据库服务的占用。

图10. 停止各类数据库服务 

勒索软件在加密一般文件时，会根据大小动态调整只加密文件部分内容，而对于112类文件扩展名则会进行完整加密，其列表如下：

vmem、vswp、vmsn、vmdk、vhdx、avhdx、vhd、h5、dcm、shp、ndf、shx、orc、parquet、prj、id、dat、geojson、kml、nds、pmml、proto、nmea、s57、rpf、onnx、pt、pb、csv、eml、ghost、log、bak、sql、4dd、4dl、abs、abx、frm、accdb、accdc、ctl、accde、pqsql、adb、adf、dmp、ckp、db、json、pgdump、arc、pgdata、db-journal、db-shm、ifx、js、wal、mongodb、ns、wt、rdb、mariadb、db-wal、db2、ibd、db3、dbc、dbf、dbs、dbt、dbv、dcb、doc、docx、dp1、aof、mysql、myi、data、dump、eco、edb、database、ora、epim、wdb、fcd、gdb、mdb、mdf、ldf、myd、ndf、nwdb、nyf、sqlitedb、sqlite3、sqlite、xls、xlsx、pdf、pst、swift、fix、flt、fixm、xlsm、makop、pgp、gpg、enc

从上述扩展名可以看出，勒索软件主要集中攻击以下几类文件。这些文件类型具有覆盖面极广、目标价值高、多平台存在、文件结构复杂等特点：

l虚拟化与备份环境

l数据库与大数据存储

l地理信息系统（GIS）与科学数据

l机器学习与模型文件

l办公文档与电子邮件

l日志与配置

除了指定特定扩展名进行完整加密外，勒索软件还会对部分文件进行排除，不加密。被排除的扩展名、文件名及目录如下:

iso、cmd、com、bat、diagpkg、dll、exe、hlp、icl、icns、ico、ics、idx、lnk、nomedia、rom、rtp、scr、shs、sys、theme、themepack、wpx、msi

ntldr、ntdetect.com、io.sys、autorun.inf、boot.ini、desktop.ini、ntuser.dat、concache.db、bootsect.bak、thumbs.db、Bootfont.bin

Windows、ProgramData\\Microsoft、ProgramData\\NVIDIA Corporation、ProgramData\\Adobe、ProgramData\\Dell、ProgramData\\Intel、ProgramData\\McAfee、ProgramData\\Symantec、ProgramData\\Kaspersky Lab、ProgramData\\AVAST Software、ProgramData\\Malwarebytes、ProgramData\\Package Cache、Program Files (x86)\\Internet Explorer、Program Files (x86)\\Steam、Program Files (x86)\\NVIDIA Corporation、Program Files (x86)\\Intel、Program Files\\Adobe、Program Files\\Internet Explorer、Program Files\\Mozilla Firefox、Program Files\\Google、Program Files\\NVIDIA Corporation、Program Files\\WindowsApps、Program Files\\Windows Defender、Program Files\\Intel、Program Files\\Windows Photo Viewer、Program Files\\Windows Media Player、Program Files\\UNP、Program Files\\ModifiableWindowsApps、Program Files(x86)\\Microsoft Synchronization Services、Program Files(x86)\\Microsoft Sync Framework、Program Files(x86)\\Microsoft Analysis Services、Program Files (x86)\\Microsoft SDKs、Program Files (x86)\\MSBuild、Program Files (x86)\\Reference Assemblies、Program Files\\Microsoft Sync Framework、Program Files\\Microsoft.NET、Program Files\\Reference Assemblies、Program Files\\WindowsPowerShell、Program Files\\MSBuild、Program Files\\Virtio-Win、Program Files\\Windows NT、Program Files (x86)\\Microsoft.NET、Program Files (x86)\\Windows NT、Program Files (x86)\\WindowsPowerShell、Program Files (x86)\\Windows Media Player、ProgramData\\Microsoft、ProgramData\\NVIDIA Corporation、ProgramData\\Adobe、ProgramData\\Oracle、ProgramData\\Dell、ProgramData\\Intel、ProgramData\\McAfee、ProgramData\\Symantec、ProgramData\\Kaspersky Lab、ProgramData\\AVAST Software、ProgramData\\Malwarebytes、ProgramData\\Package Cache、ProgramData\\Microsoft、ProgramData\\NVIDIA Corporation、ProgramData\\Adobe、ProgramData\\Oracle、ProgramData\\Dell、ProgramData\\Intel、ProgramData\\McAfee、ProgramData\\Symantec、ProgramData\\Kaspersky Lab、ProgramData\\AVAST Software、ProgramData\\Malwarebytes、ProgramData\\Package Cache、Program Files (x86)\\Internet Explorer、Program Files (x86)\\Steam、Program Files (x86)\\NVIDIA Corporation、Program Files (x86)\\Intel、Program Files\\Adobe、Program Files\\Internet Explorer、Program Files\\Mozilla Firefox、Program Files\\Google、Program Files\\NVIDIA Corporation、Program Files\\WindowsApps、Program Files\\Windows Defender、Program Files\\Intel、Program Files\\Windows Photo Viewer、Program Files\\Windows Media Player、Program Files\\UNP、Program Files\\ModifiableWindowsApps

加密策略及密钥分析

对于一般文件，Kalxat会根据文件类型和大小动态调整加密的比率。

图11. 勒索软件动态调整加密比率 

加密算法会根据文件大小，动态调整待读取的文件块大小以及加密率两个关键参数，其文件大小阈值为：

l小文件阈值：10,485,760 字节 (10MB)

l中等文件阈值：314,572,800 字节 (约300MB)

l大文件阈值：1,073,741,824 字节 (1GB)

l最大文件阈值：53,687,091,200 字节 (50GB)

而读取的文件块大小与加密率算法对应策略如下

l基础块大小: 38,400 字节

l根据文件大小调整乘数因子和加密率:

n特殊情况：乘数因子为5，加密率为1（每个块都加密）

n文件尺寸小于0MB：乘数因子为25，加密率为2（每2个块加密1个）

n文件尺寸小于314MB：乘数因子为125，加密率为2（每2个块加密1个）

n文件尺寸在314MB~1GB之间：乘数因子为250，加密率为2（每2个块加密1个）

n文件尺寸在1GB~50GB之间：乘数因子为375，加密率为3（每3个块加密1个）

n文件尺寸大于50GB：乘数因子为750，加密率为3（每3个块加密1个）

最终读取块大小从192KB到28.8MB不等，随文件大小增大而增大。加密率在1~3之间变化，用于优化大文件加密的性能和安全性平衡。

加密流程分析

Kalxat勒索文件加密与密钥生成流程示意图：

图12. 密钥生成及加密流程示意图 

在加密功能部分有个小插曲：虽然在其自身的代码中将加密函数命名为AesEncryptFile，但其实际用的却是ChaCha20算法。加密流程大致如下：

1. 密钥和IV生成与包装

2. 文件加密参数与元数据写入

3. 分块加密文件内容

加密文件数据结构

在加密文件时，被加密的文件数据结构如下：

图13. 被加密的文件数据结构图

被加密文件的元数据详细说明如下表：

表2. 被加密文件的元数据结构说明

勒索软件筛选待加密文件的具体流程如下：

l小文件（小于10MB）：基本会被加入加密任务队列处理。

l中等文件（10MB~70MB）：根据递归参数和目录下文件数综合判断，一般也会加入任务队列。

l极大文件或极大目录：

n超过70MB的文件夹，且文件数超过200个，会被直接跳过；

n单个文件超过100MB（dll后缀）或350MB（普通文件且目录下文件数>7）也会被跳过；

n子目录超过150个，且limitSize大于70MB，也不会再递归下去。

收尾工作

勒索软件在完成全部加密工作后，会生成名为“INFORMATION.txt”的勒索信，要求受害者将信内ID发到下方的邮箱中，以取得初步联系获得赎金报价。

图14. 勒索信内容

安全建议

基于该勒索的特点，我们提出以下防护建议：

l异地多重备份：虚拟机镜像、数据库备份与日常文件分离存放，并定期演练恢复。

l最小化权限：限制服务账号对备份和虚拟磁盘文件的访问。

l网络隔离与监控：部署流量监控、勒索软件行为检测工具，对异常加密行为及时阻断。

l定期更新与打补丁：关键系统与数据库及时修补已知漏洞，降低被入侵风险。

针对本轮攻击的特点，我们针对RDP防护也给出一些专项建议：

l设置强复杂度密码，并定期更换。

l启用双因素验证（2FA/MFA），确保登录环节多一道安全屏障。

l仅允许公司固定或可信IP段访问RDP服务，可通过VPN或跳板机实现。

l限制RDP登录尝试次数与频率，部署入侵防御系统（IDS/IPS）拦截暴力破解。

l针对RDP服务开启日志审计，监控非工作时间和异常时段的登录行为。