【360】Kann勒索软件分析报告

近日，360数字安全集团高级威胁研究分析中心发布了一份名为《Kann勒索软件分析报告》的研究报告。这份报告深入分析了Kann勒索软件的活跃态势、加密机制、以及解密方案，揭示了勒索软件如何利用RC4与AES-CBC-256算法对文件进行加密，并采用4096位RSA算法对密钥进行加密，最终导致数据解密难度极大。报告中还指出，尽管勒索软件在密钥管理上存在设计缺陷，但通过对加密流程的逆向分析与算法优化，研究人员发现可以利用GPU或高性能CPU的算力进行密钥暴力破解，实现文件解密。此外，报告还提供了安全防范建议和勒索软件应急处置清单，为个人用户和企业单位提供了宝贵的防御和应对勒索攻击的参考经验。

勒索软件：网络安全的新威胁

近年来，勒索软件已经成为网络安全领域的一大威胁。根据360数字安全集团高级威胁研究分析中心发布的《2024年勒索软件流行态势报告》，勒索软件的传播趋势依然严峻。尽管没有出现大规模爆发性攻击事件，但新兴勒索软件家族和传统勒索软件团伙的攻击活动仍然构成严重威胁。国内勒索软件形势尤为严峻，许多依赖Web服务的企业OA系统、财务软件和管理软件已成为政企单位遭受勒索攻击的主要入口。

Kann勒索软件的活跃

近期，360反病毒团队监测到了一款名为“.kann”的勒索软件开始活跃。这款勒索软件采用了复杂的混合加密策略，利用RC4与AES-CBC-256算法对受害者文件进行加密，并通过4096位的RSA算法对上述密钥再次进行加密，提升了数据解密的难度。然而，研究人员通过对加密流程的逆向分析与算法优化，发现可以尝试利用当前GPU或高性能CPU的算力，对加密文件进行密钥暴力破解，实现文件解密。

勒索软件加密流程

Kann勒索软件的加密流程包括使用混合加密方式通过RC4和AES算法加密文件，再使用RSA对密钥进行加密，最终对被加密文件添加“.kann”扩展名。勒索软件运行后，会生成42位的随机密钥，但由于使用了UTF16-LE格式，实际使用的密钥只使用了生成密钥的一部分。其实际使用的AES密钥长度为16位，而RC4密钥长度为8位。

勒索软件加密策略

Kann勒索软件在加密文件时，会根据文件大小采取不同的处理方式：小文件（<2MB）跳过不加密，中等文件（2MB-100MB）作为整体一次性加密，大文件（>100MB）分块处理，每次加密100MB。勒索软件内置的RSA 4096公钥数据也被披露。

勒索软件的防御与应对

尽管Kann勒索软件的加密缺陷为数据恢复提供了可能，但这并不意味着可以对勒索软件的威胁掉以轻心。企业和个人用户应持续加强自身安全防护。建议定期备份数据，及时更新系统与软件，提高安全意识，建立应急响应机制，并安装可靠的安全软件。

勒索软件应急处置

面对勒索软件攻击，应立即检查中招情况，控制勒索蔓延，排查关键节点。具体措施包括检查被攻击设备，对存在风险的设备与网段进行临时管控，修改全部管理员账号密码，禁用归属不明账号，临时停用非必要账号，修改所有普通用户账号密码，收集可疑样本、被加密文件、勒索提示信息，收集中招设备系统安全日志与防火墙日志，检查存储有敏感信息设备是否被异常访问，检查设备中账户情况，包括第三方软件账户，最近新增账户，检查数据库账户，VPN账户，NAS账户，VNC类软件配置，排查Web日志，排查最近运行记录，临时禁用发现的攻击账号，使用安全软件进行扫描，完成后续安全加固工作，安装补丁，修补存在的其它问题。

文章的灵感来自于《Kann勒索软件分析报告》，这份报告为我们提供了对勒索软件的深入了解。除了这份报告，还有一些同类型的报告也非常有价值，推荐阅读，这些报告我们都收录在同名星球，可以自行获取。

以上为节选样张，关注公众号【蝉鸣报告】回复领取PDF完整电子版（无广告）。

【蝉鸣报告】每日更新最新硬核报告，覆盖产业报告、全球化、经济报告、趋势等全领域。