新一代勒索問世

近期，360反勒索服務(wu)團(tuan)隊接到多起關于Kalxat勒(le)索(suo)軟件攻(gong)擊的反饋。經(jing)分析發現，這種(zhong)新(xin)型勒索軟件(jian)擁(yong)有非常高(gao)效的文件加密機制，并可以多級動態(tai)調整加密策(ce)略，具備大量配置與(yu)擴展屬性，屬于新一代(dai)的先(xian)進勒索軟件。根據受(shou)害者(zhe)反饋，Kalxat會在(zai)系(xi)統中悄(qiao)然加密各類文件，并將其(qi)擴(kuo)展(zhan)名修改為(wei)".kalxat"，同時留下勒索信息(xi)，要求支付贖金(jin)以獲(huo)取解密工具。

在(zai)入侵傳播方面(mian)，Kalxat則表現出了(le)明顯的定向攻擊(ji)特征(zheng)。該勒索軟件主要針(zhen)對Windows服(fu)務器發起攻擊。其(qi)加密策略也是針對服(fu)務器(qi)上的關(guan)鍵數據——如數據(ju)庫文件，進行完整的全量加密。而對于其他非(fei)關(guan)鍵文件，其采用部分(fen)加密策略，以加快整(zheng)體加密速(su)度。此外，該勒索(suo)軟件還會執(zhi)行一系列系統操作，包括大量修改注冊表項、禁用Windows Defender、清除系統事(shi)件日志(zhi)和安全日志(zhi)等，以(yi)規(gui)避安全檢測并確(que)保攻擊(ji)成(cheng)功。

Kalxat采用了高(gao)度(du)模(mo)塊化的設計：勒索信內容、加密文(wen)件擴展名、RSA公鑰等關鍵參數，均通過(guo)獨立的配(pei)置文件進行配(pei)置。這也使(shi)攻擊者可(ke)以輕(qing)松地為不同(tong)目標進行不同版本(ben)的(de)定(ding)制化攻(gong)擊，同時也增加(jia)了安全研究人員(yuan)的(de)分析難度(du)。這(zhe)種設計(ji)使(shi)得Kalxat具有較強的變種生成能(neng)力，各個(ge)攻擊實例可能(neng)展現出不同的行為特(te)征，并且采用了雙重(zhong)RSA架構。這些(xie)操作表明，Kalxat是一款精心設計(ji)的、針對企業(ye)服務器(qi)環境的高(gao)級勒索軟件(jian)。

Kalxat技術詳解

軟(ruan)件概述

本文將(jiang)對捕獲到的Kalxat勒索軟件樣本進行技術分(fen)析，剖析其加(jia)密算法(fa)、加密邏(luo)輯和密鑰管理(li)方式(shi)等細(xi)節。

表1. Kalxat勒索軟件家族特性概(gai)覽

?

在(zai)測試環(huan)境(jing)中，被加密(mi)后的典型(xing)文檔目(mu)錄如下：

?

圖(tu)1. 測(ce)試環境中的被加(jia)密文檔目錄?

前置預備操作解析

該勒索在開始運行(xing)后，會通過lzma算法動態釋(shi)放其(qi)勒索代碼，該流程的(de)詳情(qing)如下：

?

圖2. Kalxat勒索軟(ruan)件動態釋放勒索模塊流程示意圖?

最終，被釋放出的勒索代碼載荷會(hui)加載同目錄(lu)下encry_開頭(tou)的密鑰(yao)配置文件(jian)，如果不存(cun)在此文件(jian)或者文件(jian)內容格式不對，勒索軟件便不(bu)會再進行后(hou)續的攻(gong)擊(ji)操作。我(wo)們根據其(qi)算法邏輯生成了(le)一(yi)份密鑰(yao)配置，示例如(ru)下圖(tu)所示：

?

圖3. 密鑰配置文件示(shi)意圖

該配置文(wen)件(jian)(jian)中，包含了勒索軟(ruan)件(jian)(jian)加密所需(xu)的(de)文(wen)件(jian)(jian)后綴、勒索信(xin)息(xi)以及加密密鑰(yao)等重要功能性數據。經技術分析，該配置文(wen)件(jian)(jian)的(de)文(wen)件(jian)(jian)數據結構如(ru)下圖所示：

?

圖4. Kalxat密鑰(yao)配置文件數據結構示意圖?

勒(le)索軟件在(zai)準備妥當后(hou)會正(zheng)式運(yun)行。其啟動后(hou)會包含多個檢(jian)查條件，只(zhi)有(you)在(zai)滿(man)足特定(ding)條件時，才(cai)會執行核心的勒(le)索功能代碼：

一、檢查(cha)是否存在一個名為“no_start”的文件，如存在則退出；

二、檢查(cha)運行時間(jian)，僅在(zai)2025年1月~10月期間執行。時間區域外則直接退(tui)出；

三、檢查系統語言區域(yu)，如果屬于某些特定(ding)國家則退出(chu)。具體國家為(wei)：俄羅斯(si)(si)、白(bai)俄羅斯(si)(si)、烏克(ke)(ke)蘭、烏茲別克(ke)(ke)斯(si)(si)坦、哈薩克(ke)(ke)斯(si)(si)坦、塔吉(ji)克(ke)(ke)斯(si)(si)坦、格(ge)魯吉(ji)亞、吉(ji)爾吉(ji)斯(si)(si)斯(si)(si)坦、土庫曼斯(si)(si)坦。

此外，在勒(le)索軟(ruan)件(jian)開始(shi)加密前還(huan)會(hui)執行修改注冊表及各種清空記錄(lu)、日志等命令：

?

圖5. 勒索軟件(jian)啟動(dong)后的注冊(ce)表(biao)操作

對注冊表操作后，還(huan)會執行特定(ding)Powershell命令，其主要(yao)功能為關閉(bi)各類(lei)安全防護(hu)(hu)及虛擬機軟(ruan)件，同時(shi)清理(li)各類(lei)防護(hu)(hu)日志：

?

圖6. 勒索軟件啟(qi)動后執行的Powershell命令(ling)

此后(hou)，軟件會清理系統的遠程桌面協(xie)議（RDP）記錄：

?

圖7. 勒索軟(ruan)(ruan)件(jian)啟動(dong)后清理RDP記錄?

調(diao)用Cipher /w命令擦(ca)除(chu)并復寫已刪(shan)除(chu)文件的剩余痕跡記錄，防(fang)止數據恢復，并設(she)置2小時后(hou)重啟機(ji)器(qi)：

?

圖(tu)8. 清(qing)除已刪除文(wen)件痕跡?

接著(zhu)，勒索軟(ruan)件還會(hui)嘗試結(jie)束特定安全軟(ruan)件、Web、數據庫軟件進程，并刪除所有系統恢復點，以及禁(jin)用(yong)系統中自帶(dai)的安全防護(hu)軟件Windows Defender：

?

圖9. 關閉各(ge)類軟件、刪除恢復(fu)點并禁(jin)用Windows Defender?

最(zui)后，Kalxat會停止特定服務(wu)，這些服務(wu)主要是各類(lei)數據(ju)庫軟件。停止這些服務(wu)，可(ke)以避免勒索(suo)軟件對數據(ju)庫文件進行加密時，遭到數據(ju)庫服務(wu)的占(zhan)用。

?

圖10. 停止各類(lei)數據(ju)庫服務?

勒索軟(ruan)件在加密一般文件時，會根(gen)據大小動態調整只加密文件部分內容，而(er)對于112類(lei)文件擴展名則會進行(xing)完(wan)整加(jia)密(mi)，其列表(biao)如下：

vmem、vswp、vmsn、vmdk、vhdx、avhdx、vhd、h5、dcm、shp、ndf、shx、orc、parquet、prj、id、dat、geojson、kml、nds、pmml、proto、nmea、s57、rpf、onnx、pt、pb、csv、eml、ghost、log、bak、sql、4dd、4dl、abs、abx、frm、accdb、accdc、ctl、accde、pqsql、adb、adf、dmp、ckp、db、json、pgdump、arc、pgdata、db-journal、db-shm、ifx、js、wal、mongodb、ns、wt、rdb、mariadb、db-wal、db2、ibd、db3、dbc、dbf、dbs、dbt、dbv、dcb、doc、docx、dp1、aof、mysql、myi、data、dump、eco、edb、database、ora、epim、wdb、fcd、gdb、mdb、mdf、ldf、myd、ndf、nwdb、nyf、sqlitedb、sqlite3、sqlite、xls、xlsx、pdf、pst、swift、fix、flt、fixm、xlsm、makop、pgp、gpg、enc

從上述擴展名可以(yi)看出，勒索軟件主要集中攻擊以(yi)下幾類文(wen)件。這些文(wen)件類型具有覆蓋(gai)面(mian)極(ji)廣、目標價值高、多平臺存在、文(wen)件結構復雜等(deng)特點(dian)：

l虛擬化與備份環(huan)境

l數(shu)據庫(ku)與大(da)數(shu)據存儲

l地(di)理信(xin)息系統（GIS）與科學數據

l機(ji)器學(xue)習與(yu)模型文件

l辦(ban)公文檔與(yu)電子郵件(jian)

l日志與(yu)配置

除了指定(ding)特定(ding)擴展名(ming)進(jin)(jin)行完整加密(mi)外(wai)，勒索軟件(jian)還(huan)會對部分文件(jian)進(jin)(jin)行排除，不加密(mi)。被排除的(de)擴展名(ming)、文件(jian)名(ming)及目錄如(ru)下:

iso、cmd、com、bat、diagpkg、dll、exe、hlp、icl、icns、ico、ics、idx、lnk、nomedia、rom、rtp、scr、shs、sys、theme、themepack、wpx、msi

ntldr、ntdetect.com、io.sys、autorun.inf、boot.ini、desktop.ini、ntuser.dat、concache.db、bootsect.bak、thumbs.db、Bootfont.bin

Windows、ProgramData\\Microsoft、ProgramData\\NVIDIA Corporation、ProgramData\\Adobe、ProgramData\\Dell、ProgramData\\Intel、ProgramData\\McAfee、ProgramData\\Symantec、ProgramData\\Kaspersky Lab、ProgramData\\AVAST Software、ProgramData\\Malwarebytes、ProgramData\\Package Cache、Program Files (x86)\\Internet Explorer、Program Files (x86)\\Steam、Program Files (x86)\\NVIDIA Corporation、Program Files (x86)\\Intel、Program Files\\Adobe、Program Files\\Internet Explorer、Program Files\\Mozilla Firefox、Program Files\\Google、Program Files\\NVIDIA Corporation、Program Files\\WindowsApps、Program Files\\Windows Defender、Program Files\\Intel、Program Files\\Windows Photo Viewer、Program Files\\Windows Media Player、Program Files\\UNP、Program Files\\ModifiableWindowsApps、Program Files(x86)\\Microsoft Synchronization Services、Program Files(x86)\\Microsoft Sync Framework、Program Files(x86)\\Microsoft Analysis Services、Program Files (x86)\\Microsoft SDKs、Program Files (x86)\\MSBuild、Program Files (x86)\\Reference Assemblies、Program Files\\Microsoft Sync Framework、Program Files\\Microsoft.NET、Program Files\\Reference Assemblies、Program Files\\WindowsPowerShell、Program Files\\MSBuild、Program Files\\Virtio-Win、Program Files\\Windows NT、Program Files (x86)\\Microsoft.NET、Program Files (x86)\\Windows NT、Program Files (x86)\\WindowsPowerShell、Program Files (x86)\\Windows Media Player、ProgramData\\Microsoft、ProgramData\\NVIDIA Corporation、ProgramData\\Adobe、ProgramData\\Oracle、ProgramData\\Dell、ProgramData\\Intel、ProgramData\\McAfee、ProgramData\\Symantec、ProgramData\\Kaspersky Lab、ProgramData\\AVAST Software、ProgramData\\Malwarebytes、ProgramData\\Package Cache、ProgramData\\Microsoft、ProgramData\\NVIDIA Corporation、ProgramData\\Adobe、ProgramData\\Oracle、ProgramData\\Dell、ProgramData\\Intel、ProgramData\\McAfee、ProgramData\\Symantec、ProgramData\\Kaspersky Lab、ProgramData\\AVAST Software、ProgramData\\Malwarebytes、ProgramData\\Package Cache、Program Files (x86)\\Internet Explorer、Program Files (x86)\\Steam、Program Files (x86)\\NVIDIA Corporation、Program Files (x86)\\Intel、Program Files\\Adobe、Program Files\\Internet Explorer、Program Files\\Mozilla Firefox、Program Files\\Google、Program Files\\NVIDIA Corporation、Program Files\\WindowsApps、Program Files\\Windows Defender、Program Files\\Intel、Program Files\\Windows Photo Viewer、Program Files\\Windows Media Player、Program Files\\UNP、Program Files\\ModifiableWindowsApps

加(jia)密策略及密鑰分析(xi)

對于(yu)一般文(wen)件(jian)，Kalxat會根據文(wen)件(jian)類型和大(da)小動態調(diao)整加密的比率。

?

圖(tu)11. 勒索(suo)軟(ruan)件(jian)動態調整加密比率(lv)?

加密算(suan)法會根據文件(jian)(jian)大(da)小(xiao)，動態調整待讀取的文件(jian)(jian)塊大(da)小(xiao)以(yi)及加密率兩個關鍵參數(shu)，其文件(jian)(jian)大(da)小(xiao)閾(yu)值為：

l小文件閾值：10,485,760 字(zi)節 (10MB)

l中(zhong)等文件(jian)閾(yu)值：314,572,800 字節 (約300MB)

l大文(wen)件閾值(zhi)：1,073,741,824 字節 (1GB)

l最大文件閾值：53,687,091,200 字節 (50GB)

而讀取的文件塊大小與加(jia)密率算法對應策略如下

l基礎(chu)塊大小: 38,400 字(zi)節

l根(gen)據文件大小調整乘(cheng)數因子(zi)和加密率:

n特(te)殊情況：乘數因子為5，加密率為1（每(mei)個塊都加密）

n文(wen)件尺寸小(xiao)于0MB：乘數(shu)因子(zi)為(wei)25，加(jia)密(mi)率(lv)為(wei)2（每2個(ge)塊加(jia)密(mi)1個(ge)）

n文件尺寸小于314MB：乘數因子為(wei)125，加密率為(wei)2（每2個(ge)塊加密1個(ge)）

n文件尺寸(cun)在314MB~1GB之(zhi)間：乘(cheng)數因子為250，加密率為2（每2個(ge)塊加密1個(ge)）

n文件尺寸在1GB~50GB之間：乘(cheng)數因子為(wei)375，加(jia)密率為(wei)3（每(mei)3個(ge)塊加(jia)密1個(ge)）

n文件尺(chi)寸大(da)于(yu)50GB：乘數因子為(wei)750，加密率為(wei)3（每3個塊加密1個）

最終(zhong)讀取塊大小從192KB到(dao)28.8MB不等，隨文(wen)件大(da)小(xiao)增大(da)而(er)增大(da)。加密率在(zai)1~3之間變化，用于優化大(da)文(wen)件加密的性能和安(an)全性平(ping)衡。

加密(mi)流(liu)程(cheng)分(fen)析

Kalxat勒索文件加密與(yu)密鑰生成流(liu)程示意圖：

?

圖12. 密鑰(yao)生成及加密流程示意圖?

在加(jia)密功能部(bu)分有個小(xiao)插曲：雖然在其自身的代碼(ma)中將(jiang)加(jia)密函數命(ming)名(ming)為AesEncryptFile，但其實際用的卻是(shi)ChaCha20算(suan)法。加密流程(cheng)大致如(ru)下(xia)：

1.?密鑰和IV生成與包裝(zhuang)

2.?文件加密參數(shu)(shu)與元數(shu)(shu)據寫入

3.?分塊加密(mi)文件(jian)內容

加密文件數據結(jie)構

在加(jia)(jia)密文件(jian)時，被加(jia)(jia)密的文件(jian)數據結構如下：

?

圖(tu)13. 被(bei)加(jia)密(mi)的(de)文(wen)件數據結構圖

被(bei)加密文件的元數據詳細說明(ming)如下表：

表2. 被加密文件(jian)的元數據結構(gou)說明

勒索軟(ruan)件(jian)篩(shai)選待(dai)加密文(wen)件(jian)的具體流程如(ru)下(xia)：

l小文(wen)件（小于10MB）：基本會被加入(ru)加密任務隊列處理。

l中等文件（10MB~70MB）：根據(ju)遞歸參數和目錄(lu)下文件數綜合判斷，一般也會加入(ru)任務隊列。

l極(ji)大文(wen)件或極(ji)大目錄：

n超過70MB的文(wen)件夾，且文(wen)件數超過(guo)200個，會被直(zhi)接(jie)跳過(guo)；

n單個文件超過100MB（dll后綴）或350MB（普通(tong)文件且目錄下文件數>7）也會被(bei)跳過；

n子目錄超過150個，且limitSize大(da)于70MB，也不會再遞歸下去。

收尾工作(zuo)

勒索(suo)軟件在完(wan)成全部加密工作后，會生成名為(wei)“INFORMATION.txt”的勒索信，要求受害(hai)者將信內ID發到下方(fang)的郵箱中，以取(qu)得初步聯系獲得贖金報價。

?

圖14. 勒索(suo)信內容

安全建議

基于該勒索的特點，我們提出以下(xia)防護建議：

l異地多重(zhong)備份：虛擬機鏡(jing)像、數據庫備(bei)份與(yu)日常文件分離存放，并定期演(yan)練(lian)恢復。

l最小化權限：限制(zhi)服務賬號對備(bei)份和虛(xu)擬(ni)磁(ci)盤文件的訪問(wen)。

l網(wang)絡(luo)隔離與監控：部(bu)署流(liu)量監控(kong)、勒索軟件行為檢(jian)測工具，對(dui)異常加密行為及時阻斷。

l定期更新與(yu)打補丁：關鍵系統(tong)與數(shu)據庫及(ji)時(shi)修補已知漏洞(dong)，降低被入侵(qin)風險。

針(zhen)對本輪攻擊的特點，我(wo)們針(zhen)對RDP防護(hu)也給出(chu)一(yi)些專項建議：

l設置強復雜度密碼，并定期更(geng)換。

l啟用雙因(yin)素驗證（2FA/MFA），確保登錄(lu)環(huan)節多一道安全(quan)屏障。

l僅(jin)允許公司固定或(huo)可(ke)信IP段訪問(wen)RDP服務，可通過(guo)VPN或(huo)跳板(ban)機實現(xian)。

l限制RDP登錄嘗試次(ci)數與頻率(lv)，部署入侵防(fang)御系統（IDS/IPS）攔(lan)截暴力破解。

l針(zhen)對RDP服務開啟(qi)日志(zhi)審計(ji)，監控非工作時間和異常時段的登(deng)錄行為。