近日,360政企安全集团高级威胁研究分析中心 (CCTGA勒索软件防范应对工作组成员)监测到针对国内高校与科研机构的Coffee勒索病毒又出现了新的变种,新变种对加密触发方式、加密格式、远程勒索shellcode C2获取方式等进行了更新调整。新变种通过邮箱传播,加密过程更加隐蔽,潜伏期最多可长达15天,同时使用DNS隧道技术来获取C2信息,免杀能力更强。
Coffee勒索病毒最早出现在2022年1月,主要通过群发钓鱼邮件、QQ群文件、QQ自动发送等方式进行传播。截止目前,该勒索病毒经过多次版本迭代,下表为对该勒索病毒主要两次版本变化的比较:
新变种的加密算法和之前版本并未发生变化,仍然使用RC4加密,以获得快速加密的效果。本次新变种仍然只加密文件前2M的头部数据,密钥生成算法等未作修改,中招用户可尝试使用360解密大师进行解密。
新变种对触发加密的条件做了限制,使加密过程更加隐蔽!加密时机变为:
1)锁屏时;
2)注销或关机操作时进行阻止并伪装系统更新并进行勒索加密;
3)启动时间大于等于15天;
新变种在获取远程payload地址的方式进行了调整,使用了DNS隧道的方法,在C2信息隐藏在了域名的txt记录中。
同时勒索信相关的帮助链接也采用了类似的方式来进行解析更新:
新版病毒在执行方面,也使用了新的免杀手段,在白利用加载的dll会随机生成大小为20-50M的文件,以提升杀软收集样本的难度,躲避杀软查杀。
病毒在运行后,会弹出假的VC运行库错误提示框,以迷惑用户:
与之前版本相比,勒索信的内容有细微变化 :
安全提醒:
该病毒主要攻击高校与科研院所,用户在收到来历不明的邮件时,务必谨慎访问。使用360全系列安全终端产品的用户无需担心,360安全产品可正常拦截与查杀该病毒。在此,360安全大脑提醒用户:
1.安装并使用安全软件,不随意退出防护功能。
2.谨慎打开QQ消息,QQ群共享文件,以及邮件附件中的文件,打开这些文件时,如果安全软件提示拦截或报毒,切勿继续执行。
解密:
目前360解密大师已经第一时间支持了该勒索病毒解密,受到Coffee勒索病毒影响的用户,可尝试使用360解密大师解密,或联系360安全中心寻求帮助。
IOCs:
SHA1:
54c4e6dd65919a2af99b6a76347c0b33ccea4c7f
1901fcff1c2f14e76b872566b87f2ddfa547e81a
6361f765abf69c04756e0444d4f351363c9120c7
ZEC收款地址:
zs1d2f2qtzfym7spjn9juterfl4vya4g77mj6d8cs9gvpnjfjg0awsyfrr6242udl2fdp3zcjczhkh
URL:
hxxps://img.gejiba[.]com/images/8fe11304f25bc7594419efbe6f9ad4ba.jpg
url.freerun[.]ml