新型勒索病毒Coffee潛伏期高達百日，360解密大師獨家支援解密

近日，360安全大腦監測發現一種具有蠕蟲性質的新型勒索病毒Coffee存在大範圍傳播的風險。針對該勒索病毒傳播事件，360安全分析團隊（CCTGA勒索軟體防範應對工作組成員）展開了詳盡的分析。經過系統性分析確定，Coffee病毒可以通過軟體捆綁和QQ群釣魚傳播且危害性極大，需引起高度重視和警惕。

通過真實案例對Coffee病毒的攻擊流程進行了還原：某網盤工具“數碼小站.exe”與 “AppUnion.dll”是攻擊者準備的一對白利用程式。當宿主程式“數碼小站.exe”執行時，病毒模組“AppUnion.dll”被載入執行。之後，病毒模組會先最小化當前資料夾的視窗，之後用真正的“數碼小站.exe”替換掉原先的病毒宿主程式，再次把真正的“數碼小站.exe”執行起來，就此完成了捆綁病毒的執行，使用者很難發現其中問題。

不過，需要指出的是：使用者本地的病毒模組，只是該病毒的一個引導與執行器，真正的功能載荷都是通過遠端載入的方式獲取的。其中關鍵的兩個功能模組，載入地址如下（除了使用Gitee，還使用了IPFS用以儲存惡意Shellcode）：

hxxps://gitee[.]com/temphi/chinese_chess/raw/master/css/r.jpg

hxxps://gitee[.]com/temphi/chinese_chess/raw/master/css/t.jpg

其中，前者為勒索病毒模組，後者為利用QQ傳播所用的相關檔案。一切就緒後，攻擊者會把白利用複製到要感染的程式目錄下，然後白exe的檔名將變成被感染的程式名稱加上一個不可見字元0x200e，並通過修改桌面lnk指向這個白exe。隨後，攻擊者可通過雲端Shellcode，遠端開啟處於預設關閉狀態的加密勒索功能。其中，觸發機密開關有兩個，分別為：

1.      計算用當前機器時間轉換成分鐘減去%Appdata%目錄下的guid-RSA.TXT檔案的建立時間的分鐘數如果>=100天則觸發（部分版本配置的是36500天）

2.      執行run函式的引數如果為901則直接觸發加密，100為開啟傳送QQ傳播（目前雲控配置），200為禁用QQ傳播，301為關閉感染替換其它程式（dll劫持）

加密勒索功能開啟後，系統將以guid "d672a56c-f9bd-4297-93c3-27caa1a5e36a"為例，生成加密金鑰。生成的加密檔案用的KEY為："juWECzjk"，其中前4個字元juWE會做為加密後的檔名中的pwdmask，例如test.coffee. juWE.jpg。

值得一提的是，檔案加密使用的是RC4演算法。加密前會檢測加密標記(位於被加密檔案尾部)，防止重複加密，並且只加密檔案的前2097152位元組即2MB。被加密的檔案格式有：.key、.keys、.pfx、.pem、.p12、.csr、.gpg、.aes、.docx、.doc、.docm、.pdf、.xlsx、.xls、.xlsm、.xlsb、.ppt、.pptx、.pptm、.wps、.et、.dps、.csv、.mdb、.dbf、.dat、.db、.sav、.sas、.sas7bdat、.m、.mat、.r、.rdata、.psd、.cdr、.ai、.jpg、.3gp、.mp4、.mov、.dwg、.dxf、.vsd、.lst、.ba_、.rep、.rbk、.ais、.aib、.dbb、.mdf、.ldf、.ndf、.myd、.frm、.myi、.ibd、.sql、.sqlite、.fdb、.gdb、.rdb、.aof、.udb、.udbx、.wt、.wl、.wp、.shp、.cs、.java、.cpp、.pas、.asm、.rar、.zip。

加密完成後將生成勒索信，勒索信中的待解密密碼為使用內建的一個1024位的RSA公鑰：

uqYJWgnvSUWXC22R2CMHYzTA3d2dE+W4AhtkBR6HcA/wLRe2eBctuZrwW6F5jM+fIVx+gooGapnaMTcQ9EtYr0FkHY1TqD8VhTUp08dZHCVoBNNLEkVTEFKD5F1GdEXptEP0046OqnztAb94JtzP0FOvaCeuswDVbmfHZco0SxM=

加密加密檔案所用的KEY後的內容。

雖然Coffee病毒有愈演愈烈的趨勢，不過可喜的是，360解密大師已經在第一時間支援了該勒索病毒解密。受到Coffee勒索病毒影響的使用者，可嘗試使用360解密大師解密，或聯絡360安全中心尋求幫助。