360安全衛士
360殺毒
360文檔衛士
360安全瀏覽器
360極速瀏覽器
360安全云盤
360隨身WiFi
360搜索
系統急救箱
重裝大師
勒索病毒救助
急救盤
高危漏洞免疫
360壓縮
驅動大師
魯大師
360換機助手
360清理大師Win10
360游戲大廳
360軟件管家
360手機衛士
360防騷擾大師
360加固保
360貸款神器
360手機瀏覽器
360安全云盤
360免費WiFi
安全客
手機助手
安全換機
360幫幫
清理大師
省電王
360商城
360天氣
360鎖屏
手機專家
快剪輯
360影視
360娛樂
快資訊
你財富
360借條
360互助
信貸管家
360攝像機云臺AI版
360攝像機小水滴AI版
360攝像機云臺變焦版
360可視門鈴
360攝像機云臺1080p
家庭防火墻V5S增強版
家庭防火墻5Pro
家庭防火墻5SV2
家庭防火墻路由器5C
360兒童手表S1
360兒童手表8X
360兒童手表P1
360兒童手表SE5
360智能健康手表
行車記錄儀M310
行車記錄儀K600
行車記錄儀G380
360行車記錄儀G600
兒童安全座椅
360掃地機器人X90
360掃地機器人T90
360掃地機器人S7
360掃地機器人S6
360掃地機器人S5
360安全衛士
360殺毒
360文檔衛士
360安全瀏覽器
360極速瀏覽器
360隨身WiFi
360搜索
系統急救箱
重裝大師
急救盤
勒索病毒救助
360壓縮
驅動大師
魯大師
360游戲大廳
360軟件管家
360手機衛士
360防騷擾大師
手機急救箱
360加固保
360貸款神器
360免費WiFi
安全客
手機助手
一鍵root
安全換機
360幫幫
信用衛士
清理大師
省電王
360商城
流量衛士
360天氣
360鎖屏
手機專家
快剪輯
360影視
360娛樂
快資訊
你財富
360借條
360手機N7
360手機N6
Pro
360手機vizza
360手機N5S
360兒童手表6C
360兒童手表6W
360兒童手表SE2代
360手表SE2Plus
360老人手表
360攝像機大眾版
360安全路由器P3
360安全路由器P2
360兒童機器人
外設產品
影音娛樂
平板電腦
二手手機
二代 美猴王版
二代
美猴王領航版
標準升級版
后視鏡版
車載電器Kann勒索再度活躍,360成功破解
Kann勒索軟件再度活躍
近期,360反病毒團隊在監測過程中發現了一款勒索軟件開始活躍,其變種名為“.kann”與“xmrdata”。該勒索軟件采用了較為復雜的混合加密策略,利用RC4與AES算法對受害者文件進行加密,并通過RSA算法對上述密鑰再次進行加密,以此進一步提升了數據解密的難度。最后,勒索軟件會將加密后的文件統一添加“.kann”擴展名。
而值得注意的是,雖然該勒索組織自認為在密鑰管理上非常穩妥,但實際上存在一定設計缺陷。故此,研究人員通過對加密流程的逆向分析與算法優化,發現可以嘗試利用當前GPU或高性能CPU的算力,對加密文件進行密鑰暴力破解,從而在較短時間內實現文件解密。這一發現為受害者帶來了一線希望,也為防御和應對類似勒索攻擊提供了有價值的參考經驗。如果有該勒索軟件的中招用戶,也可以聯系360反勒索服務進行解密。
樣本分析
樣本概述
下圖展示了該勒索家族加密數據的基本流程,包括使用混合加密方式通過RC4和AES算法加密文件,再使用RSA對密鑰進行加密,以及最終對被加密文件添加“.kann”擴展名等主要操作:
圖1. 加密流程示意圖
密鑰與加密
勒索軟件運行后,會分兩次生成兩份共42位的隨機密鑰。
圖2. 生成AES密鑰
圖3. 生成RC4密鑰
下圖則給出了被Kann勒索軟件加密后的文件數據內容結構:
圖4. 被加密的文件數據結構示意圖
在完成了密鑰生成及傳入工作之后,勒索軟件便展開了核心的文件數據加密工作。其首先會使用RC4算法對文件內容進行加密:
圖5. RC4加密文件
完成后,再用AES加密之前被RC4加密后的前2000字節(數據尾部利用0x16字節的0x0數據進行分隔,所以傳入的待加密緩沖區長度為0x7E0)。
圖6. 使用AES算法二次加密文件頭部數據?
完成文件數據加密后,勒索軟件再使用RSA 對生成的密鑰以及用戶機器名拼接進行加密,本輪加密還具有以下三個特點:
a)???? 算法初始化
調用'BCryptOpenAlgorithmProvider'打開加密算法提供程序。
b)???? 密鑰導入
使用'BCryptImportKeyPair'導入密鑰對。
c)????? 加密操作
調用'BCryptEncrypt'兩次:第一次獲取輸出緩沖區大小,第二次執行實際加密。
圖7. BCryptEncrypt加密代碼?
而根據待加密文件的大小,勒索軟件會做出如下不同的處理方式:
l? 小文件(<2MB)跳過不加密
l? 中等文件(2MB-100MB)作為整體一次性加密
l? 大文件(>100MB)分塊處理,每次加密100MB
勒索軟件內置的RSA 4096公鑰數據如下:
圖8. 勒索軟件內置的RSA 4096公鑰?
最終,其會嘗試結束一些特定的敏感進程并判斷父進程是否為特定進程,如果不成功,則勒索軟件會主動退出:
圖9. 勒索軟件嘗試清理并檢測運行環境
其完整的檢測列表如下:
表1. 勒索軟件環境檢測字符串列表
同時,勒索軟件還會排除特定目錄和特定擴展名,不對其進行加密。其中,Kann勒索軟件會排除另外兩個勒索加密的擴展名,分別為.Lock(Zyka勒索家族)和.DEVOS(Phobos勒索家族變種)。通過研究,我們發現這樣做的原因竟然是這兩個勒索和.kann使用了相同的入侵方式,有時候會搶先一步加密文件。
最后,Kann會檢查被加密路徑是否包含以下字符串(不區分大小寫)并進行排除:
l? C:\\Windows
l? NVIDIA
l? Intel
l? VMware
l? Inetpub
l? Windows Mail
l? .kann
l? .Lock
l? .DEVOS
l? Visual Studio
l? 常見擴展名(.exe, .dll, .sys, .msi)?
收尾工作
在完成了核心的加密工作后,勒索軟件會采用多種方式刪除磁盤卷影副本,并禁用系統的啟動恢復功能:
圖10. 刪除卷影以及禁用恢復
之后,會以/w+盤符為參數來調用系統自帶的cipher程序。該命令的作用是擦除磁盤驅動器盤符上所有已刪除文件的數據空間。
圖11. 調用cipher工具徹底清理被刪除文件
因為在Windows系統中刪除一個文件時,文件的內容實際上并沒有立即從磁盤上抹去,只是標記了該空間可以被重新使用。而調用上述這個cipher命令的/w參數(wipe),可以通過用隨機數據覆蓋這些“已刪除”的文件空間,以此來對抗受害者后續可能進行的文件恢復工作。
圖12. 被調起的cipher工具?
最終,Kann勒索會釋放勒索信來通知受害者交付贖金:
圖13. 勒索軟件釋放多語言的勒索信
被釋放的勒索信中,留下了攻擊者的郵箱及受害用戶的ID信息。以此來讓受害者根據這些信息與攻擊者進行聯系并談判贖金金額。
圖14. Kann勒索信內容?
而此處還發現一個頗為有趣的情況——在該勒索軟件留下的勒索信息中,除了通常的英語和當前受害系統對應的中文外,還發現了一份俄語的勒索信息。
圖15. Kann勒索軟件留下的俄語勒索信息?
數據解密
經安全研究人員分析發現,該勒索軟件在加密過程中存在一些技術漏洞。這也就意味著我們借助受害用戶手中的“民用設備”,嘗試對被加密數據進行暴力破解成為可能。
我們借助手中的NVIDIA GeForce GTX 1660 Ti顯卡進行測試。發現雖然此款顯卡在當下并不算高端,但最終的測試結果依然令人頗為滿意——僅用了不足十分鐘便成功完成了解密。而對于沒有獨立顯卡的受攻擊設備,也可以調用其CPU嘗試破解。雖然CPU進行此類運算會明顯慢于GPU,但Intel i9系列CPU也在我們的測試中用了2個多小時便成功完成了解密,這個時間依然是可以接受的。
圖16. i9處理器用時2個多小時成功解密?
目前360解密大師也已經支持了解密.xmrdata和.kann加密的文件,并且我們也已使用解密大師成功解密了向我們求助的兩位反饋用戶的被加密文件。
圖17. 解密大師成功幫助受害用戶解密數據
安全建議
盡管本次針對.kann勒索軟件的加密缺陷為數據恢復提供了可能,但這并不意味著可以對勒索軟件的威脅掉以輕心。面對逐漸進化的勒索攻擊,企業和個人用戶應持續加強自身安全防護。
針對勒索攻擊,我們給出如下建議:
1.????? 定期備份數據
建議將重要文件定期備份,并確保備份數據存放在物理隔離的設備或云端,避免因主機感染而導致備份文件也被加密或破壞。
2.????? 及時更新系統與軟件
保持操作系統和常用軟件的最新補丁狀態,及時修補已知漏洞,減少攻擊者利用安全漏洞入侵的風險。
3.????? 提高安全意識
警惕可疑郵件、未知來源的下載鏈接和附件,避免點擊來歷不明的內容。同時,建議關閉不必要的遠程桌面服務,或采用強密碼與多因素認證等安全措施。
4.????? 建立應急響應機制
發生異常情況時,及時斷網隔離受感染設備,保留相關日志和樣本,第一時間聯系專業安全團隊處置,切勿盲目支付贖金或隨意操作感染文件。
5.????? 安裝可靠的安全軟件
選擇并安裝具備勒索防護功能的安全軟件(如360),定期進行全盤查殺和實時監控,及時發現并阻斷異常行為,提升整體防御能力。
京公網安備 11000002000006號