勒索病毒Coffee新变种来势汹汹 360防勒索解决方案精准出击

近日，360数字安全集团高级威胁研究分析中心（CCTGA勒索软件防范应对工作组成员）监测到针对我国高校与科研机构的Coffee勒索病毒再次出现了新变种，这是继Coffee勒索病毒在2022年1月首次出现后的再度“升级”。

经360安全分析团队研判分析，新变种对加密触发方式、加密格式、远程勒索shellcode C2获取方式等进行了更新调整。新变种通过邮箱传播，加密过程更加隐蔽，潜伏期最多可长达15天，同时使用DNS隧道技术来获取C2信息，免杀能力更强，需引起高度重视和警惕。

Coffee勒索病毒新变种的特征对比分析

据了解，相较于前期主要通过群发钓鱼邮件、QQ群文件、QQ自动发送等方式进行传播，Coffee勒索病毒新变种主要通过邮箱传播，加密过程更加隐蔽。截止目前，该勒索病毒经过多次版本迭代，下图为对该勒索病毒主要两次版本变化的比较：

勒索病毒Coffee两次版本变化的比较

此外，新变种的加密算法和之前版本并未发生变化，仍然使用RC4加密，以获得快速加密的效果。新变种对触发加密的条件做了限制，使加密过程更加隐蔽！新变种还在获取远程payload地址的方式进行了调整，使用了DNS隧道的方法，在C2信息隐藏在了域名的txt记录中。同时勒索信相关的帮助链接也采用了类似的方式来进行解析更新。

在执行方面，新版病毒也使用了新的免杀手段，在白利用加载的dll会随机生成大小为20-50M的文件，以提升杀软收集样本的难度，躲避杀软查杀。病毒在运行后，会弹出假的VC运行库错误提示框，以迷惑用户。

Coffee勒索病毒快速蔓延

360防勒索整体解决方案精准出击

360防勒索整体解决方案从“云、管、端、地、险”五个维度出发，利用360本地安全大脑、360高级持续性威胁预警系统（360 NDR）、360终端安全检测响应系统（360 EDR）等多款安全产品及360安全服务，帮助用户感知风险、看见威胁、抵御攻击，实现多方位、全流程、体系化的勒索防护。

360本地安全大脑汇聚终端、流量、业务访问等全场景行为数据，通过大数据分析平台进行集中存储和快速检索，进而实现对所有可疑活动的持续监测，360云端专家7*24h值守，协助研判可疑事件，快速发现、分析处置异常行为。360本地安全大脑基于360 EDR、360 NDR的行为类日志开发的XDR分析规则可以检测Coffee勒索软件使用的攻击技战术，确定影响实体范围、联动EDR对受影响主机快速阻断进程、隔离下线，截图为检测其查询域名DNS设置中TXT记录获取C2地址的行为：

360 NDR针对Coffee家族的勒索软件的监测主要分为流量监测和文件监测两个部分。文件监测通过还原流量中的文件，如邮件协议中的附件、HTTP协议中传输的文件等，通过动静态虚拟沙箱检测技术，实现针对coffee软件的识别；360 NDR同时结合勒索软件运行过程中产生的流量进行流量特征预警，涉及勒索软件关联的IOC情报数据。

360 NDR文件检测报告截图

360 NDR流量监测预警截图

360 EDR针对Coffee家族的勒索病毒，通过主动监控功能，当用户通过QQ、微信、邮件、共享文件夹等方式将coffee病毒文件在终端落地时，会进行病毒检测可以检出病毒文件；也可以通过快速查杀、定时查杀对磁盘文件进行病毒检测的时候扫描发现coffee病毒。

360安全服务在防护产品自动检测扫描的基础上，进行二次检查与加固，补充安全产品能力，实现快速响应，全面发现并彻底清理客户业务主机的漏洞。同时，360安全服务专家还可以将用户业务与云、管、端告警和情报结合，还原勒索攻击全貌，提供全面、专业的分析结论并提出针对性建设意见，确保用户防护设备可以防护此勒索病毒风险。

该病毒主要攻击高校与科研院所，用户在收到来历不明的邮件时，务必谨慎访问。360在此提醒用户：首先，安装并使用安全软件，不随意退出防护功能；其次，谨慎打开QQ消息，QQ群共享文件，以及邮件附件中的文件，打开这些文件时，如果安全软件提示拦截或报毒，切勿继续执行。目前，360解密大师已经第一时间支持该勒索病毒解密，受到Coffee勒索病毒影响的用户，可尝试使用360解密大师解密，或联系360安全中心寻求帮助。同时，360专家建议您使用360防勒索整体解决方案，通过360相关安全产品及服务，为您的安全保驾护航。

截至目前，360防勒索解决方案已累计为超万例勒索病毒救援求助提供帮助。未来，360将继续完善防勒索解决方案，赋能更多用户感知风险、看见威胁、抵御攻击，筑牢数字安全屏障，护航数字经济发展。