近日，360數(shù)字安全集團(tuán)高級(jí)威脅研究分析中心（CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）監(jiān)測(cè)到針對(duì)我國(guó)高校與科研機(jī)構(gòu)的Coffee勒索病毒再次出現(xiàn)了新變種，這是繼Coffee勒索病毒在2022年1月首次出現(xiàn)后的再度“升級(jí)”。

經(jīng)360安全分析團(tuán)隊(duì)研判分析，新變種對(duì)加密觸發(fā)方式、加密格式、遠(yuǎn)程勒索shellcode C2獲取方式等進(jìn)行了更新調(diào)整。新變種通過郵箱傳播，加密過程更加隱蔽，潛伏期最多可長(zhǎng)達(dá)15天，同時(shí)使用DNS隧道技術(shù)來獲取C2信息，免殺能力更強(qiáng)，需引起高度重視和警惕。

Coffee勒索病毒新變種的特征對(duì)比分析

據(jù)了解，相較于前期主要通過群發(fā)釣魚郵件、QQ群文件、QQ自動(dòng)發(fā)送等方式進(jìn)行傳播，Coffee勒索病毒新變種主要通過郵箱傳播，加密過程更加隱蔽。截止目前，該勒索病毒經(jīng)過多次版本迭代，下圖為對(duì)該勒索病毒主要兩次版本變化的比較：

勒索病毒Coffee兩次版本變化的比較

此外，新變種的加密算法和之前版本并未發(fā)生變化，仍然使用RC4加密，以獲得快速加密的效果。新變種對(duì)觸發(fā)加密的條件做了限制，使加密過程更加隱蔽！新變種還在獲取遠(yuǎn)程payload地址的方式進(jìn)行了調(diào)整，使用了DNS隧道的方法，在C2信息隱藏在了域名的txt記錄中。同時(shí)勒索信相關(guān)的幫助鏈接也采用了類似的方式來進(jìn)行解析更新。

在執(zhí)行方面，新版病毒也使用了新的免殺手段，在白利用加載的dll會(huì)隨機(jī)生成大小為20-50M的文件，以提升殺軟收集樣本的難度，躲避殺軟查殺。病毒在運(yùn)行后，會(huì)彈出假的VC運(yùn)行庫錯(cuò)誤提示框，以迷惑用戶。

Coffee勒索病毒快速蔓延

360防勒索整體解決方案精準(zhǔn)出擊

360防勒索整體解決方案從“云、管、端、地、險(xiǎn)”五個(gè)維度出發(fā)，利用360本地安全大腦、360高級(jí)持續(xù)性威脅預(yù)警系統(tǒng)（360 NDR）、360終端安全檢測(cè)響應(yīng)系統(tǒng)（360 EDR）等多款安全產(chǎn)品及360安全服務(wù)，幫助用戶感知風(fēng)險(xiǎn)、看見威脅、抵御攻擊，實(shí)現(xiàn)多方位、全流程、體系化的勒索防護(hù)。

360本地安全大腦匯聚終端、流量、業(yè)務(wù)訪問等全場(chǎng)景行為數(shù)據(jù)，通過大數(shù)據(jù)分析平臺(tái)進(jìn)行集中存儲(chǔ)和快速檢索，進(jìn)而實(shí)現(xiàn)對(duì)所有可疑活動(dòng)的持續(xù)監(jiān)測(cè)，360云端專家7*24h值守，協(xié)助研判可疑事件，快速發(fā)現(xiàn)、分析處置異常行為。360本地安全大腦基于360 EDR、360 NDR的行為類日志開發(fā)的XDR分析規(guī)則可以檢測(cè)Coffee勒索軟件使用的攻擊技戰(zhàn)術(shù)，確定影響實(shí)體范圍、聯(lián)動(dòng)EDR對(duì)受影響主機(jī)快速阻斷進(jìn)程、隔離下線，截圖為檢測(cè)其查詢域名DNS設(shè)置中TXT記錄獲取C2地址的行為：

360?NDR針對(duì)Coffee家族的勒索軟件的監(jiān)測(cè)主要分為流量監(jiān)測(cè)和文件監(jiān)測(cè)兩個(gè)部分。文件監(jiān)測(cè)通過還原流量中的文件，如郵件協(xié)議中的附件、HTTP協(xié)議中傳輸?shù)奈募龋ㄟ^動(dòng)靜態(tài)虛擬沙箱檢測(cè)技術(shù)，實(shí)現(xiàn)針對(duì)coffee軟件的識(shí)別；360 NDR同時(shí)結(jié)合勒索軟件運(yùn)行過程中產(chǎn)生的流量進(jìn)行流量特征預(yù)警，涉及勒索軟件關(guān)聯(lián)的IOC情報(bào)數(shù)據(jù)。

360 NDR文件檢測(cè)報(bào)告截圖

360 NDR流量監(jiān)測(cè)預(yù)警截圖

360 EDR針對(duì)Coffee家族的勒索病毒，通過主動(dòng)監(jiān)控功能，當(dāng)用戶通過QQ、微信、郵件、共享文件夾等方式將coffee病毒文件在終端落地時(shí)，會(huì)進(jìn)行病毒檢測(cè)可以檢出病毒文件；也可以通過快速查殺、定時(shí)查殺對(duì)磁盤文件進(jìn)行病毒檢測(cè)的時(shí)候掃描發(fā)現(xiàn)coffee病毒。

360安全服務(wù)在防護(hù)產(chǎn)品自動(dòng)檢測(cè)掃描的基礎(chǔ)上，進(jìn)行二次檢查與加固，補(bǔ)充安全產(chǎn)品能力，實(shí)現(xiàn)快速響應(yīng)，全面發(fā)現(xiàn)并徹底清理客戶業(yè)務(wù)主機(jī)的漏洞。同時(shí)，360安全服務(wù)專家還可以將用戶業(yè)務(wù)與云、管、端告警和情報(bào)結(jié)合，還原勒索攻擊全貌，提供全面、專業(yè)的分析結(jié)論并提出針對(duì)性建設(shè)意見，確保用戶防護(hù)設(shè)備可以防護(hù)此勒索病毒風(fēng)險(xiǎn)。

該病毒主要攻擊高校與科研院所，用戶在收到來歷不明的郵件時(shí)，務(wù)必謹(jǐn)慎訪問。360在此提醒用戶：首先，安裝并使用安全軟件，不隨意退出防護(hù)功能；其次，謹(jǐn)慎打開QQ消息，QQ群共享文件，以及郵件附件中的文件，打開這些文件時(shí)，如果安全軟件提示攔截或報(bào)毒，切勿繼續(xù)執(zhí)行。目前，360解密大師已經(jīng)第一時(shí)間支持該勒索病毒解密，受到Coffee勒索病毒影響的用戶，可嘗試使用360解密大師解密，或聯(lián)系360安全中心尋求幫助。同時(shí)，360專家建議您使用360防勒索整體解決方案，通過360相關(guān)安全產(chǎn)品及服務(wù)，為您的安全保駕護(hù)航。

截至目前，360防勒索解決方案已累計(jì)為超萬例勒索病毒救援求助提供幫助。未來，360將繼續(xù)完善防勒索解決方案，賦能更多用戶感知風(fēng)險(xiǎn)、看見威脅、抵御攻擊，筑牢數(shù)字安全屏障，護(hù)航數(shù)字經(jīng)濟(jì)發(fā)展。