一个复杂的新型勒索软件团伙从暗处浮出水面,他们以精准且系统的方式针对多个行业的跨国组织。
Kawa4096于2025年6月首次被发现,已迅速成为对金融、教育和服务行业企业的重大威胁,尤其针对日本和美国的受害者。
该组织的运作成熟度表明,其网络犯罪活动协调有序,有可能在极短的时间内对多个国家造成广泛影响。
Kawa4096勒索软件行动通过实施双重勒索方法展示了先进的战术能力,它将数据加密与数据窃取相结合,以最大限度地增强对受害者的影响力。
该组织运营着一个专用的基于Tor的数据泄露平台,他们在该平台上系统性地披露受害者信息,以此对受害者施加额外压力,迫使他们支付赎金。
他们的运作结构显示出精心的规划,为每位受害者提供个性化的索赔URL,以控制数据访问,并在整个勒索过程中维持有序的沟通渠道。
ASEC分析师指出,这款勒索软件的技术实现包含多个独特特征,使其有别于传统的勒索软件家族。
当恶意软件在无参数启动时,会自动以- all参数重新执行,从而确保对目标系统中的文件进行全面加密。
此外,它使用CreateMutexA应用程序接口创建了一个名为“SAY_HI_2025”的独特互斥体,以防止加密过程中出现重复执行和潜在的系统冲突。
这款勒索软件的配置管理系统利用包含17个不同字段的嵌入式资源部分来控制加密行为。
这些配置包括针对文件扩展名、目录和特定文件名的全面排除列表,旨在在最大化破坏的同时维持系统稳定性。
诸如[.]exe、[.]dll、[.]sys之类的关键系统文件,以及boot[.]ini和desktop[.]ini等核心Windows组件会被刻意排除,以保持系统功能和协商能力。
高级加密机制与规避策略
Kawa4096采用复杂的部分加密技术,在保持破坏效果的同时优化速度和效率。
这种恶意软件将目标文件分割成64KB的块,并且只加密每个文件的25%,这在大幅缩短加密时间的同时,也让文件完全无法使用。
这种选择性方法在处理数据库、文档和多媒体文件时尤为有效,当这些文件的头部或索引出现部分损坏导致整个文件无法访问时,该方法能发挥作用。
加密过程采用Salsa20流密码算法,加密文件的扩展名格式为[original_filename].[extension].[9_random_characters]。
对于超过10MB的文件,勒索软件采用高强度的部分加密模式,而较小的文件则会受到完全加密或弱强度的部分加密处理。
这种适应性方法体现了该团体对系统性能优化和最大化受害者影响的理解。
勒索软件会系统性地终止关键进程,包括数据库服务器、办公应用程序和备份服务,以便解锁文件进行加密。
目标进程包括sqlservr[.]exe、excel[.]exe、firefox[.]exe、outlook[.]exe以及许多其他可能干扰加密过程或为受害者提供恢复机制的应用程序。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
