大胆国模GOGO人体私拍|女人奶大陰户欣赏|两人剧烈运动扑克牌网站免费|女人吃男人视频|9一14 young处|户外BBBB|国产又色又爽无遮挡免费动态图

近日，360數字安全集團高級威脅研究分析中心（CCTGA勒索軟件防范應對工作組成員）監測到針對我國高校與科研機構的Coffee勒索病毒再次出現了新變種，這是繼Coffee勒索病毒在2022年1月首次出現后的再度“升級”。

經360安全分析團隊研判分析，新變種對加密觸發方式、加密格式、遠程勒索shellcode C2獲取方式等進行了更新調整。新變種通過郵箱傳播，加密過程更加隱蔽，潛伏期最多可長達15天，同時使用DNS隧道技術來獲取C2信息，免殺能力更強，需引起高度重視和警惕。

Coffee勒索病毒新變種的特征對比分析

據了解，相較于前期主要通過群發釣魚郵件、QQ群文件、QQ自動發送等方式進行傳播，Coffee勒索病毒新變種主要通過郵箱傳播，加密過程更加隱蔽。截止目前，該勒索病毒經過多次版本迭代，下圖為對該勒索病毒主要兩次版本變化的比較：

勒索病毒Coffee兩次版本變化的比較

此外，新變種的加密算法和之前版本并未發生變化，仍然使用RC4加密，以獲得快速加密的效果。新變種對觸發加密的條件做了限制，使加密過程更加隱蔽！新變種還在獲取遠程payload地址的方式進行了調整，使用了DNS隧道的方法，在C2信息隱藏在了域名的txt記錄中。同時勒索信相關的幫助鏈接也采用了類似的方式來進行解析更新。

在執行方面，新版病毒也使用了新的免殺手段，在白利用加載的dll會隨機生成大小為20-50M的文件，以提升殺軟收集樣本的難度，躲避殺軟查殺。病毒在運行后，會彈出假的VC運行庫錯誤提示框，以迷惑用戶。

Coffee勒索病毒快速蔓延

360防勒索整體解決方案精準出擊

360防勒索整體解決方案從“云、管、端、地、險”五個維度出發，利用360本地安全大腦、360高級持續性威脅預警系統（360 NDR）、360終端安全檢測響應系統（360 EDR）等多款安全產品及360安全服務，幫助用戶感知風險、看見威脅、抵御攻擊，實現多方位、全流程、體系化的勒索防護。

360本地安全大腦匯聚終端、流量、業務訪問等全場景行為數據，通過大數據分析平臺進行集中存儲和快速檢索，進而實現對所有可疑活動的持續監測，360云端專家7*24h值守，協助研判可疑事件，快速發現、分析處置異常行為。360本地安全大腦基于360 EDR、360 NDR的行為類日志開發的XDR分析規則可以檢測Coffee勒索軟件使用的攻擊技戰術，確定影響實體范圍、聯動EDR對受影響主機快速阻斷進程、隔離下線，截圖為檢測其查詢域名DNS設置中TXT記錄獲取C2地址的行為：

360 NDR針對Coffee家族的勒索軟件的監測主要分為流量監測和文件監測兩個部分。文件監測通過還原流量中的文件，如郵件協議中的附件、HTTP協議中傳輸的文件等，通過動靜態虛擬沙箱檢測技術，實現針對coffee軟件的識別；360 NDR同時結合勒索軟件運行過程中產生的流量進行流量特征預警，涉及勒索軟件關聯的IOC情報數據。

360 NDR文件檢測報告截圖

360 NDR流量監測預警截圖

360 EDR針對Coffee家族的勒索病毒，通過主動監控功能，當用戶通過QQ、微信、郵件、共享文件夾等方式將coffee病毒文件在終端落地時，會進行病毒檢測可以檢出病毒文件；也可以通過快速查殺、定時查殺對磁盤文件進行病毒檢測的時候掃描發現coffee病毒。

360安全服務在防護產品自動檢測掃描的基礎上，進行二次檢查與加固，補充安全產品能力，實現快速響應，全面發現并徹底清理客戶業務主機的漏洞。同時，360安全服務專家還可以將用戶業務與云、管、端告警和情報結合，還原勒索攻擊全貌，提供全面、專業的分析結論并提出針對性建設意見，確保用戶防護設備可以防護此勒索病毒風險。

該病毒主要攻擊高校與科研院所，用戶在收到來歷不明的郵件時，務必謹慎訪問。360在此提醒用戶：首先，安裝并使用安全軟件，不隨意退出防護功能；其次，謹慎打開QQ消息，QQ群共享文件，以及郵件附件中的文件，打開這些文件時，如果安全軟件提示攔截或報毒，切勿繼續執行。目前，360解密大師已經第一時間支持該勒索病毒解密，受到Coffee勒索病毒影響的用戶，可嘗試使用360解密大師解密，或聯系360安全中心尋求幫助。同時，360專家建議您使用360防勒索整體解決方案，通過360相關安全產品及服務，為您的安全保駕護航。

截至目前，360防勒索解決方案已累計為超萬例勒索病毒救援求助提供幫助。未來，360將繼續完善防勒索解決方案，賦能更多用戶感知風險、看見威脅、抵御攻擊，筑牢數字安全屏障，護航數字經濟發展。