Qilin（议程）勒索软件：完整指南

Qilin 勒索软件也称为 Agenda 勒索软件，采用 Rust 和 Go 编程语言编写，使其用途更加广泛且难以分析或检测。 Qilin 勒索软件因针对关键行业公司而臭名昭著，但它对所有垂直领域的组织都构成威胁。勒索软件运营商的附属计划不仅向其网络添加新成员，而且还通过恶意软件和支持服务将其武器化，以针对教育、医疗保健和全球经济的其他关键部门。该勒索软件是用 Go 编写的 64 位 Windows PE（可移植可执行文件）文件，专门针对基于 Windows 的系统。该组织分发恶意软件的目标主要是印度尼西亚、沙特阿拉伯、南非和泰国的医疗保健和教育组织。勒索软件留下的每张勒索字条都是针对其目标受害者定制的。调查显示，这些样本包含泄露的帐户、客户密码以及用作加密文件扩展名的唯一公司 ID。

麒麟是什么恶意软件？

Qilin 勒索软件是一个勒索软件即服务 (RaaS) 附属程序，它使用基于 Rust 的勒索软件来攻击受害者。 Qilin 勒索软件攻击是针对每个受害者定制的，以最大程度地发挥其影响，威胁行为者可以利用更改加密文件的文件扩展名以及终止特定进程和服务等策略。Qilin 勒索软件使用 AES-256 加密来加密受害者系统上的文件。该勒索软件还使用 RSA-2048 来加密生成的密钥。加密成功后，加密文件会附加一个新的随机文件扩展名，例如“.MmXReVIxLV”。

我们所知道的有关 Qilin (Agenda) 勒索软件的一切

此列表包含有关名为 Qilin（议程）的新型勒索软件病毒的基本信息。确认姓名

• Agenda（麒麟）病毒

威胁类型

• 勒索软件
• 隐形恶意软件
• 加密病毒
• 文件柜
• 双重勒索

加密文件扩展名

• 随机延伸

索要赎金的消息

• [随机字符串]-RECOVER-README.txt

检测名称

• 阿瓦斯特Win64:木马生成器
• 索福斯Mal/通用-S
• 埃姆西软件特洛伊木马.Ransom.Babuk.F (B)
• 卡巴斯基木马.Win32.DelShad.ivd
• 恶意软件字节通用恶意软件/可疑
• 微软赎金：Win32/Babuk.SIB!MTB

勒索软件家族、类型和变种

• 家族：Qilin勒索软件属于Qilin勒索软件家族
• 类型：Qilin 勒索软件是勒索软件即服务 (RaaS) 附属计划
• 变种：Qilin勒索软件也称为Agenda勒索软件

分配方式

• 传播受感染的文件
• 恶意超链接
• 基于 RDP 的攻击
• 网络钓鱼
• 垃圾邮件活动

结果

• 数据泄露
• 文件加密

有免费的解密器吗？

不。目前没有已知的 Qilin (Agenda) 勒索软件公共解密器可用。

Qilin勒索病毒的IOC是什么？

妥协指标 (IOC) 是在网络或操作系统中观察到的伪影，可高度可信地指示计算机入侵。 IOC 可用于使用入侵检测系统和防病毒软件来及早检测未来的攻击尝试。Qilin (Agenda) 勒索软件的妥协指标 (IOC) 包括：

• 加密：Agenda 勒索软件使用 AES-256 加密对文件进行加密
• 文件扩展名：Agenda 勒索软件将配置的文件扩展名附加到加密文件的文件名中
• 赎金备注：Agenda 勒索软件会在每个加密目录软件中留下勒索信息
• 行为：Agenda 勒索软件可以在安全模式下重新启动系统，尝试停止许多特定于服务器的进程和服务，并具有多种运行模式
• 网络妥协：Agenda 勒索软件与整个网络及其共享驱动程序的危害有关

Qilin（Agenda）勒索软件的勒索字条

麒麟勒索软件留下的勒索字条告知受害者，他们的文件已被加密，并要求受害者支付赎金。勒索信还可能提到威胁行为者已从受感染的系统下载了数据，例如员工详细信息和凭据。如果受害者拒绝与威胁行为者沟通，数据可能会被公开。议程勒索信息示例：

Agenda/Qilin 勒索软件如何传播

Qilin 勒索软件是一种危险的恶意软件，可以通过多种方式感染计算机或网络，包括：

• 传播受感染的文件。Qilin 勒索软件可能通过在受害者不知情的情况下下载并安装在受害者系统上的受感染文件进行传播。
• 恶意超链接。Qilin勒索软件可能会使用恶意超链接渗透受害者的系统。当受害者在不知情的情况下访问受感染的网站，然后在他们不知情的情况下下载并安装恶意软件时，就会发生这种情况。
• 基于 RDP 的攻击。Qilin 勒索软件可能会使用基于 RDP 的攻击来渗透受害者的系统。当威胁行为者利用远程桌面协议 (RDP) 中的漏洞来访问受害者的系统时，就会发生这种情况。
• 网络钓鱼。Qilin 勒索软件可能以包含恶意附件或链接的网络钓鱼电子邮件开始。受害者被诱骗在其系统上下载并安装恶意软件。

Agenda 勒索软件如何感染计算机或网络

Agenda 勒索软件是一种基于 Go 的勒索软件，针对 Windows 系统，并针对每个受害者进行定制。该勒索软件使用多种策略和技术来最大限度地发挥其影响，包括：

1. 安全模式执行。Agenda 勒索软件可以在安全模式下重新启动系统，以逃避检测并阻止受害者访问其系统。
2. 进程和服务终止。勒索软件会停止特定于服务器的进程和服务，以最大限度地发挥其影响。
3. 卷影副本删除。Agenda 勒索软件会删除卷影副本，以防止受害者将系统恢复到之前的状态。
4. 防病毒进程和服务终止。勒索软件会终止各种防病毒进程和服务以逃避检测。
5. 自动开始条目创建。Agenda 勒索软件会创建一个指向自身副本的自动启动条目，以确保它在每次系统启动时运行。
6. 密码修改。勒索软件更改默认用户的密码，然后使用修改后的凭据启用自动登录。
7. 欺骗用户登录。Agenda 勒索软件利用本地帐户以欺骗用户身份登录并执行勒索软件二进制文件，如果登录尝试成功，则会进一步加密其他计算机。
8. 持久化机制。勒索软件使用 DLL 的持久性机制来确保它在受害者的系统上保持活动状态。

不要支付赎金或与威胁行为者谈判。立即联系 SalvageData 专家恢复您的文件并向地方当局报告勒索软件。

如何应对 Qilin (Agenda) 勒索软件攻击

重要的：第一步是诉诸事件响应计划 (IRP)。理想情况下，您拥有一支由值得信赖的专业团队组成的事件响应人员 (IRR)，可以 24/7/365 联系，他们可以立即采取行动，防止数据丢失、减少或消除赎金支付，并帮助您承担任何法律责任。据我们所知，根据本文发表时所掌握的信息，勒索软件恢复专家团队将采取的第一步是通过断开受感染计算机与互联网的连接并删除任何连接来隔离受感染的计算机。同时，该团队将协助您联系您所在国家/地区的地方当局。对于美国居民和企业来说，当地联邦调查局外地办事处和网络犯罪投诉中心（IC3）。要报告勒索软件攻击，您必须收集有关勒索软件攻击的所有信息，包括：

• 勒索信截图
• 与麒麟演员的交流（如果有的话）
• 加密文件的示例

但是，如果您没有 IRP 或 IRR，您仍然可以联系勒索软件清除和恢复专业人员。这是最好的行动方案，大大增加了成功删除勒索软件、恢复数据和防止未来攻击的机会。我们建议您让每台受感染的机器保持原样并致电紧急勒索软件恢复服务.重新启动或关闭系统可能会影响恢复过程。捕获实时系统的 RAM 可能有助于获取加密密钥，捕获植入程序文件可能会被逆向工程并导致数据解密或了解其运行方式。从 Qilin (Agenda) 勒索软件攻击中恢复时不应该做什么你必须不删除勒索软件，并保留所有攻击证据。这对于数字取证这样专家就可以追溯到黑客组织并识别他们。当局可以通过使用受感染系统上的数据调查这次袭击并找到责任人。网络攻击调查与任何其他刑事调查没有什么不同：它需要证据来找到攻击者。

1. 联系您的事件响应提供商

网络事件响应正在响应和管理网络安全事件。事件响应保留者是与网络安全提供商签订的服务协议，允许组织获得有关网络安全事件的外部帮助。它通过安全合作伙伴为组织提供结构化形式的专业知识和支持，使他们能够在发生网络事件时快速有效地做出响应。事件响应保留人员让组织高枕无忧，在网络安全事件发生之前和之后提供专家支持。事件响应保留器的具体性质和结构将根据提供商和组织的要求而变化。一个好的事件响应保留者应该是强大而灵活的，提供经过验证的服务来增强组织的长期安全态势。如果您联系您的 IR 服务提供商，那么他们会处理其他所有事情。但是，如果您决定与 IT 团队一起删除勒索软件并恢复文件，则可以按照以下步骤操作。

2. 识别勒索软件感染

你可以识别勒索软件通过文件扩展名感染您的计算机（某些勒索软件使用文件扩展名作为其名称），否则它将出现在勒索信中。有了这些信息，您就可以查找公共解密密钥。您还可以通过其 IOC 检查勒索软件类型。妥协指标 (IOC) 是网络安全专业人员用来识别网络或 IT 环境中的系统妥协和恶意活动的数字线索。它们本质上是犯罪现场留下的证据的数字版本，潜在的 IOC 包括异常的网络流量、来自外国的特权用户登录、奇怪的 DNS 请求、系统文件更改等等。当检测到 IOC 时，安全团队会评估可能的威胁或验证其真实性。 IOC 还提供攻击者渗透网络后可以访问的内容的证据。

3. 删除勒索软件并消除漏洞利用工具包

在恢复数据之前，您必须保证您的设备没有勒索软件，并且攻击者无法通过漏洞利用套件或其他漏洞进行新的攻击。勒索软件删除服务可以删除勒索软件、创建调查取证文档、消除漏洞并恢复数据。使用反恶意软件/反勒索软件来隔离和删除恶意软件。

重要的：通过联系勒索软件清除服务，您可以确保您的计算机和网络没有 Qilin (Agenda) 勒索软件的痕迹。此外，这些服务可以修补您的系统，防止新的攻击。

4.使用备份恢复数据

备份是恢复数据最有效的方法。确保保留每日或每周备份，具体取决于您的数据使用情况。

5.联系勒索软件恢复服务

如果您没有备份或需要帮助删除勒索软件和消除漏洞，您应该联系数据恢复服务。支付赎金并不能保证您的数据会归还给您。恢复每个文件的唯一有保证的方法是拥有备份。如果您不这样做，勒索软件数据恢复服务可以帮助您解密并恢复文件。SalvageData 专家可以安全地恢复您的文件并防止 Qilin (Agenda) 勒索软件再次攻击您的网络。此外，我们还提供数字取证报告您可以使用它进行进一步调查并了解网络攻击是如何发生的。24/7 联系我们的专家以获得紧急恢复服务。

防范Qilin（Agenda）勒索软件攻击

防止勒索软件是数据安全的最佳解决方案。比从中恢复更容易、更便宜。 Qilin 勒索软件可能会毁掉您企业的未来，甚至关门大吉。以下是一些提示，可确保您可以避免勒索软件攻击:

• 安装防病毒和反恶意软件软件。
• 采用可靠的网络安全解决方案。
• 使用强而安全的密码。
• 保持软件和操作系统最新。
• 实施防火墙以增强保护。
• 制定数据恢复计划。
• 定期安排备份以保护您的数据。
• 请谨慎对待来自未知或可疑来源的电子邮件附件和下载。
• 在点击广告之前先验证广告的安全性。
• 仅访问来自可信来源的网站。

通过遵守这些做法，您可以增强在线安全并保护自己免受潜在威胁。

建议阅读：BlackSuit 勒索软件：完整指南