Qilin（議程）勒索軟件：完整指南

Qilin 勒索軟件也稱為 Agenda 勒索軟件，採用 Rust 和 Go 編程語言編寫，使其用途更加廣泛且難以分析或檢測。 Qilin 勒索軟件因針對關鍵行業公司而臭名昭著，但它對所有垂直領域的組織都構成威脅。勒索軟件運營商的附屬計劃不僅向其網絡添加新成員，而且還通過惡意軟件和支持服務將其武器化，以針對教育、醫療保健和全球經濟的其他關鍵部門。該勒索軟件是用 Go 編寫的 64 位 Windows PE（可移植可執行文件）文件，專門針對基於 Windows 的系統。該組織分發惡意軟件的目標主要是印度尼西亞、沙特阿拉伯、南非和泰國的醫療保健和教育組織。勒索軟件留下的每張勒索字條都是針對其目標受害者定制的。調查顯示，這些樣本包含洩露的帳戶、客戶密碼以及用作加密文件擴展名的唯一公司 ID。

麒麟是什麼惡意軟件？

Qilin 勒索軟件是一個勒索軟件即服務 (RaaS) 附屬程序，它使用基於 Rust 的勒索軟件來攻擊受害者。 Qilin 勒索軟件攻擊是針對每個受害者定制的，以最大程度地發揮其影響，威脅行為者可以利用更改加密文件的文件擴展名以及終止特定進程和服務等策略。 Qilin 勒索軟件使用 AES-256 加密來加密受害者係統上的文件。該勒索軟件還使用 RSA-2048 來加密生成的密鑰。加密成功後，加密文件會附加一個新的隨機文件擴展名，例如“.MmXReVIxLV”。

我們所知道的有關 Qilin (Agenda) 勒索軟件的一切

此列表包含有關名為 Qilin（議程）的新型勒索軟件病毒的基本信息。確認姓名

• Agenda（麒麟）病毒

威脅類型

• 勒索軟件
• 隱形惡意軟件
• 加密病毒
• 文件櫃
• 雙重勒索

加密文件擴展名

• 隨機延伸

索要贖金的消息

• [隨機字符串]-RECOVER-README.txt

檢測名稱

• 阿瓦斯特Win64:木馬生成器
• 索福斯Mal/通用-S
• 埃姆西軟件特洛伊木馬.Ransom.Babuk.F (B)
• 卡巴斯基木馬.Win32.DelShad.ivd
• 惡意軟件字節通用惡意軟件/可疑
• 微軟贖金：Win32/Babuk.SIB!MTB

勒索軟件家族、類型和變種

• 家族：Qilin勒索軟件屬於Qilin勒索軟件家族
• 類型：Qilin 勒索軟件是勒索軟件即服務 (RaaS) 附屬程序
• 變種：Qilin勒索軟件也稱為Agenda勒索軟件

分配方式

• 傳播受感染的文件
• 惡意超鏈接
• 基於 RDP 的攻擊
• 網絡釣魚
• 垃圾郵件活動

結果

更多閱讀：LockBit Green 勒索軟件：完整指南

• 數據洩露
• 文件加密

有免費的解密器嗎？

不。目前沒有已知的 Qilin (Agenda) 勒索軟件公共解密器可用。

Qilin勒索病毒的IOC是什麼？

妥協指標 (IOC) 是在網絡或操作系統中觀察到的偽影，可高度可信地指示計算機入侵。 IOC 可用於使用入侵檢測系統和防病毒軟件來及早檢測未來的攻擊嘗試。 Qilin (Agenda) 勒索軟件的妥協指標 (IOC) 包括：

• 加密：Agenda 勒索軟件使用 AES-256 加密對文件進行加密
• 文件擴展名：Agenda 勒索軟件將配置的文件擴展名附加到加密文件的文件名中
• 贖金備註：Agenda 勒索軟件會在每個加密目錄軟件中留下勒索信息
• 行為：Agenda 勒索軟件可以在安全模式下重新啟動系統，嘗試停止許多特定於服務器的進程和服務，並具有多種運行模式
• 網絡妥協：Agenda 勒索軟件與整個網絡及其共享驅動程序的危害有關

Qilin（Agenda）勒索軟件的勒索字條

麒麟勒索軟件留下的勒索字條告知受害者，他們的文件已被加密，並要求受害者支付贖金。勒索信還可能提到威脅行為者已從受感染的系統下載了數據，例如員工詳細信息和憑據。如果受害者拒絕與威脅行為者溝通，數據可能會被公開。議程勒索信息示例：

Agenda/Qilin 勒索軟件如何傳播

Qilin 勒索軟件是一種危險的惡意軟件，可以通過多種方式感染計算機或網絡，包括：

• 傳播受感染的文件。Qilin 勒索軟件可能通過在受害者不知情的情況下下載並安裝在受害者係統上的受感染文件進行傳播。
• 惡意超鏈接。Qilin勒索軟件可能會使用惡意超鏈接滲透受害者的系統。當受害者在不知情的情況下訪問受感染的網站，然後在他們不知情的情況下下載並安裝惡意軟件時，就會發生這種情況。
• 基於 RDP 的攻擊。Qilin 勒索軟件可能會使用基於 RDP 的攻擊來滲透受害者的系統。當威脅行為者利用遠程桌面協議 (RDP) 中的漏洞來訪問受害者的系統時，就會發生這種情況。
• 網絡釣魚。Qilin 勒索軟件可能以包含惡意附件或鏈接的網絡釣魚電子郵件開始。受害者被誘騙在其係統上下載並安裝惡意軟件。

Agenda 勒索軟件如何感染計算機或網絡

Agenda 勒索軟件是一種基於 Go 的勒索軟件，針對 Windows 系統，並針對每個受害者進行定制。該勒索軟件使用多種策略和技術來最大限度地發揮其影響，包括：

1. 安全模式執行。Agenda 勒索軟件可以在安全模式下重新啟動系統，以逃避檢測並阻止受害者訪問其係統。
2. 進程和服務終止。勒索軟件會停止特定於服務器的進程和服務，以最大限度地發揮其影響。
3. 卷影副本刪除。Agenda 勒索軟件會刪除卷影副本，以防止受害者將系統恢復到之前的狀態。
4. 防病毒進程和服務終止。勒索軟件會終止各種防病毒進程和服務以逃避檢測。
5. 自動開始條目創建。Agenda 勒索軟件會創建一個指向自身副本的自動啟動條目，以確保它在每次系統啟動時運行。
6. 密碼修改。勒索軟件更改默認用戶的密碼，然後使用修改後的憑據啟用自動登錄。
7. 欺騙用戶登錄。Agenda 勒索軟件利用本地帳戶以欺騙用戶身份登錄並執行勒索軟件二進製文件，如果登錄嘗試成功，則會進一步加密其他計算機。
8. 持久化機制。勒索軟件使用 DLL 的持久性機制來確保它在受害者的系統上保持活動狀態。

不要支付贖金或與威脅行為者談判。立即聯繫 SalvageData 專家恢復您的文件並向地方當局報告勒索軟件。

如何應對 Qilin (Agenda) 勒索軟件攻擊

重要的：第一步是訴諸事件響應計劃 (IRP)。理想情況下，您擁有一支由值得信賴的專業團隊組成的事件響應人員 (IRR)，可以 24/7/365 聯繫，他們可以立即採取行動，防止數據丟失、減少或消除贖金支付，並幫助您承擔任何法律責任。據我們所知，根據本文發表時所掌握的信息，勒索軟件恢復專家團隊將採取的第一步是通過斷開受感染計算機與互聯網的連接並刪除任何連接來隔離受感染的計算機。同時，該團隊將協助您聯繫您所在國家/地區的地方當局。對於美國居民和企業來說，當地聯邦調查局外地辦事處和網絡犯罪投訴中心（IC3）。要報告勒索軟件攻擊，您必須收集有關勒索軟件攻擊的所有信息，包括：

• 勒索信截圖
• 與麒麟演員的交流（如果有的話）
• 加密文件的示例

但是，如果您沒有 IRP 或 IRR，您仍然可以聯繫勒索軟件清除和恢復專業人員。這是最好的行動方案，大大增加了成功刪除勒索軟件、恢復數據和防止未來攻擊的機會。我們建議您讓每台受感染的機器保持原樣並致電緊急勒索軟件恢復服務.重新啟動或關閉系統可能會影響恢復過程。捕獲實時系統的 RAM 可能有助於獲取加密密鑰，捕獲植入程序文件可能會被逆向工程並導致數據解密或了解其運行方式。從 Qilin (Agenda) 勒索軟件攻擊中恢復時不應該做什麼你必須不刪除勒索軟件，並保留所有攻擊證據。這對於數字取證這樣專家就可以追溯到黑客組織並識別他們。當局可以通過使用受感染系統上的數據調查這次襲擊並找到責任人。網絡攻擊調查與任何其他刑事調查沒有什麼不同：它需要證據來找到攻擊者。

1. 聯繫您的事件響應提供商

網絡事件響應正在響應和管理網絡安全事件。事件響應保留者是與網絡安全提供商簽訂的服務協議，允許組織獲​​得有關網絡安全事件的外部幫助。它通過安全合作夥伴為組織提供結構化形式的專業知識和支持，使他們能夠在發生網絡事件時快速有效地做出響應。事件響應保留人員讓組織高枕無憂，在網絡安全事件發生之前和之後提供專家支持。事件響應保留器的具體性質和結構將根據提供商和組織的要求而變化。一個好的事件響應保留者應該是強大而靈活的，提供經過驗證的服務來增強組織的長期安全態勢。如果您聯繫您的 IR 服務提供商，那麼他們會處理其他所有事情。但是，如果您決定與 IT 團隊一起刪除勒索軟件並恢復文件，則可以按照以下步驟操作。

2. 識別勒索軟件感染

你可以識別勒索軟件通過文件擴展名感染您的計算機（某些勒索軟件使用文件擴展名作為其名稱），否則它將出現在勒索信中。有了這些信息，您就可以查找公共解密密鑰。您還可以通過其 IOC 檢查勒索軟件類型。妥協指標 (IOC) 是網絡安全專業人員用來識別網絡或 IT 環境中的系統妥協和惡意活動的數字線索。它們本質上是犯罪現場留下的證據的數字版本，潛在的 IOC 包括異常的網絡流量、來自外國的特權用戶登錄、奇怪的 DNS 請求、系統文件更改等等。當檢測到 IOC 時，安全團隊會評估可能的威脅或驗證其真實性。 IOC 還提供攻擊者滲透網絡後可以訪問的內容的證據。

3. 刪除勒索軟件並消除漏洞利用工具包

在恢復數據之前，您必須保證您的設備沒有勒索軟件，並且攻擊者無法通過漏洞利用套件或其他漏洞進行新的攻擊。勒索軟件刪除服務可以刪除勒索軟件、創建調查取證文檔、消除漏洞並恢復數據。使用反惡意軟件/反勒索軟件來隔離和刪除惡意軟件。

重要的：通過聯繫勒索軟件清除服務，您可以確保您的計算機和網絡沒有 Qilin (Agenda) 勒索軟件的痕跡。此外，這些服務可以修補您的系統，防止新的攻擊。

4.使用備份恢復數據

備份是恢復數據最有效的方法。確保保留每日或每周備份，具體取決於您的數據使用情況。

5.聯繫勒索軟件恢復服務

如果您沒有備份或需要幫助刪除勒索軟件和消除漏洞，您應該聯繫數據恢復服務。支付贖金並不能保證您的數據會歸還給您。恢復每個文件的唯一有保證的方法是擁有備份。如果您不這樣做，勒索軟件數據恢復服務可以幫助您解密並恢復文件。 SalvageData 專家可以安全地恢復您的文件並防止 Qilin (Agenda) 勒索軟件再次攻擊您的網絡。此外，我們還提供數字取證報告您可以使用它進行進一步調查並了解網絡攻擊是如何發生的。 24/7 聯繫我們的專家以獲得緊急恢復服務。

防範Qilin（Agenda）勒索軟件攻擊

防止勒索軟件是數據安全的最佳解決方案。比從中恢復更容易、更便宜。 Qilin 勒索軟件可能會毀掉您企業的未來，甚至關門大吉。以下是一些提示，可確保您可以避免勒索軟件攻擊:

• 安裝防病毒和反惡意軟件軟件。
• 採用可靠的網絡安全解決方案。
• 使用強而安全的密碼。
• 保持軟件和操作系統最新。
• 實施防火牆以增強保護。
• 制定數據恢復計劃。
• 定期安排備份以保護您的數據。
• 請謹慎對待來自未知或可疑來源的電子郵件附件和下載。
• 在點擊廣告之前先驗證廣告的安全性。
• 僅訪問來自可信來源的網站。

通過遵守這些做法，您可以增強在線安全並保護自己免受潛在威脅。