<rt id="qwi82"><optgroup id="qwi82"></optgroup></rt>
<rt id="qwi82"><center id="qwi82"></center></rt>
<rt id="qwi82"></rt>
<rt id="qwi82"><small id="qwi82"></small></rt>
<acronym id="qwi82"></acronym>
<rt id="qwi82"><small id="qwi82"></small></rt>
中文版 Global
首頁 > 安全資訊 > 正文

coffee勒索新變種來襲,目標直指高校與科研機構

  • 2022-12-12 15:52:43

近日,360政企安全集團高級威脅研究分析中心 (CCTGA勒索軟件防范應對工作組成員)監測到針對國內高校與科研機構的Coffee勒索病毒又出現了新的變種,新變種對加密觸發方式、加密格式、遠程勒索shellcode C2獲取方式等進行了更新調整。新變種通過郵箱傳播,加密過程更加隱蔽,潛伏期最多可長達15天,同時使用DNS隧道技術來獲取C2信息,免殺能力更強。


Coffee勒索病毒最早出現在2022年1月,主要通過群發釣魚郵件、QQ群文件、QQ自動發送等方式進行傳播。截止目前,該勒索病毒經過多次版本迭代,下表為對該勒索病毒主要兩次版本變化的比較:


新變種的加密算法和之前版本并未發生變化,仍然使用RC4加密,以獲得快速加密的效果。本次新變種仍然只加密文件前2M的頭部數據,密鑰生成算法等未作修改,中招用戶可嘗試使用360解密大師進行解密。


????新變種對觸發加密的條件做了限制,使加密過程更加隱蔽!加密時機變為:

1)鎖屏時;

2)注銷或關機操作時進行阻止并偽裝系統更新并進行勒索加密;

3)啟動時間大于等于15天;


新變種在獲取遠程payload地址的方式進行了調整,使用了DNS隧道的方法,在C2信息隱藏在了域名的txt記錄中。


????同時勒索信相關的幫助鏈接也采用了類似的方式來進行解析更新:


新版病毒在執行方面,也使用了新的免殺手段,在白利用加載的dll會隨機生成大小為20-50M的文件,以提升殺軟收集樣本的難度,躲避殺軟查殺。


????病毒在運行后,會彈出假的VC運行庫錯誤提示框,以迷惑用戶:


????與之前版本相比,勒索信的內容有細微變化


安全提醒:

????該病毒主要攻擊高校與科研院所,用戶在收到來歷不明的郵件時,務必謹慎訪問。使用360全系列安全終端產品的用戶無需擔心,360安全產品可正常攔截與查殺該病毒。在此,360安全大腦提醒用戶:

????1.安裝并使用安全軟件,不隨意退出防護功能。

????2.謹慎打開QQ消息,QQ群共享文件,以及郵件附件中的文件,打開這些文件時,如果安全軟件提示攔截或報毒,切勿繼續執行。


解密:

????目前360解密大師已經第一時間支持了該勒索病毒解密,受到Coffee勒索病毒影響的用戶,可嘗試使用360解密大師解密,或聯系360安全中心尋求幫助。


IOCs:

SHA1:

54c4e6dd65919a2af99b6a76347c0b33ccea4c7f

1901fcff1c2f14e76b872566b87f2ddfa547e81a

6361f765abf69c04756e0444d4f351363c9120c7

ZEC收款地址:

zs1d2f2qtzfym7spjn9juterfl4vya4g77mj6d8cs9gvpnjfjg0awsyfrr6242udl2fdp3zcjczhkh

URL:

hxxps://img.gejiba[.]com/images/8fe11304f25bc7594419efbe6f9ad4ba.jpg

url.freerun[.]ml


360安全衛士

熱點排行

用戶
反饋 返回
頂部
99久久免费热在线精品8,东京热Av加勒一区二区,sm变态国产在线播放,9UU在线观看麻豆传媒和swag,中出国产日韩在线视频,国产女主播直播自慰,少女萝莉头像闺蜜,国产网红吉普车有哪些