中文版 Global
首页 > 安全资讯 > 正文

coffee勒索新变种来袭,目标直指高校与科研机构

  • 2022-12-12 15:52:43

近日,360政企安全集团高级威胁研究分析中心 (CCTGA勒索软件防范应对工作组成员)监测到针对国内高校与科研机构的Coffee勒索病毒又出现了新的变种,新变种对加密触发方式、加密格式、远程勒索shellcode C2获取方式等进行了更新调整。新变种通过邮箱传播,加密过程更加隐蔽,潜伏期最多可长达15天,同时使用DNS隧道技术来获取C2信息,免杀能力更强。


Coffee勒索病毒最早出现在2022年1月,主要通过群发钓鱼邮件、QQ群文件、QQ自动发送等方式进行传播。截止目前,该勒索病毒经过多次版本迭代,下表为对该勒索病毒主要两次版本变化的比较:


新变种的加密算法和之前版本并未发生变化,仍然使用RC4加密,以获得快速加密的效果。本次新变种仍然只加密文件前2M的头部数据,密钥生成算法等未作修改,中招用户可尝试使用360解密大师进行解密。


    新变种对触发加密的条件做了限制,使加密过程更加隐蔽!加密时机变为:

1)锁屏时

2)注销或关机操作时进行阻止并伪装系统更新并进行勒索加密

3)启动时间大于等于15天


新变种在获取远程payload地址的方式进行了调整,使用了DNS隧道的方法,在C2信息隐藏在了域名的txt记录中。


    同时勒索信相关的帮助链接也采用了类似的方式来进行解析更新:


新版病毒在执行方面,也使用了新的免杀手段,在白利用加载的dll会随机生成大小为20-50M的文件,以提升杀软收集样本的难度,躲避杀软查杀。


    病毒在运行后,会弹出假的VC运行库错误提示框,以迷惑用户:


    与之前版本相比,勒索信的内容有细微变化


安全提醒:

    该病毒主要攻击高校与科研院所,用户在收到来历不明的邮件时,务必谨慎访问。使用360全系列安全终端产品的用户无需担心,360安全产品可正常拦截与查杀该病毒。在此,360安全大脑提醒用户:

    1.安装并使用安全软件,不随意退出防护功能。

    2.谨慎打开QQ消息,QQ群共享文件,以及邮件附件中的文件,打开这些文件时,如果安全软件提示拦截或报毒,切勿继续执行。


解密:

    目前360解密大师已经第一时间支持了该勒索病毒解密,受到Coffee勒索病毒影响的用户,可尝试使用360解密大师解密,或联系360安全中心寻求帮助。


IOCs:

SHA1:

54c4e6dd65919a2af99b6a76347c0b33ccea4c7f

1901fcff1c2f14e76b872566b87f2ddfa547e81a

6361f765abf69c04756e0444d4f351363c9120c7

ZEC收款地址:

zs1d2f2qtzfym7spjn9juterfl4vya4g77mj6d8cs9gvpnjfjg0awsyfrr6242udl2fdp3zcjczhkh

URL:

hxxps://img.gejiba[.]com/images/8fe11304f25bc7594419efbe6f9ad4ba.jpg

url.freerun[.]ml


360安全卫士

热点排行

用户
反馈 返回
顶部