360数字安全：2025年Kann勒索软件分析报告.pdfVIP

Kann勒索软件

分析报告

目录|CONTENTS

勒索软件流行态势概述1

Kann勒索软件再度活跃3

Kann勒索样本分析4

Kann勒索样本概述4

密钥与加密5

收尾工作13

数据解密17

安全防范建议19

勒索软件应急处置清单20

IOCs22

HASH22

EMAIL22

参考文献23

01勒索软件流行态势概述

勒索软件自2015年出现以来始终处于一种高歌猛进的态势。根据360数字安全集团高级

威胁研究分析中心编写的《2024年勒索软件流行态势报告》指出，勒索软件的整体传播趋

势延续了2023年的平稳态势。无论是新兴勒索软件家族，还是传统勒索软件团伙的攻击活

动，依然构成严峻威胁，但未出现单一勒索家族在短时间内的大规模爆发性攻击事件。此稳

定态势一方面得益于全球主流安全厂商在反勒索防护方面的持续努力，另一方面也源于个人

用户和政企单位对勒索软件这一特定恶意软件类别的高度重视与防范意识的增强。

不过国内勒索软件形势依然严峻，随着Web漏洞作为主要传播手段逐渐被新老勒索软件家

族广泛应用，许多依赖Web服务的企业OA系统、财务软件和管理软件已成为政企单位遭

受勒索攻击的主要入口。2024年，国内多个金融和能源领域企业遭遇勒索攻击。与此同时，

港台地区及部分跨国贸易企业仍频繁遭遇勒索事件。知名企业如Halara和PandaBuy因数

据泄露而遭受勒索，而宏碁和酷冷至尊等IT企业也因数据外泄面临勒索威胁。此外，闻泰

1

科技收购的荷兰芯片制造商Nexperia在2024年遭遇疑似由DarkAngels勒索软件发动的

攻击，并收到了赎金威胁。

根据360安全云统计，360反勒索服务在2024年共处理了超过2151例勒索攻击求助，发

现77个新勒索家族，其中多重勒索家族38个约占一半，拦截43.1亿次网络暴破攻击，保

护近270万台设备免遭入侵，协助约3996设备完成勒索解密。

2024年，通过我们的勒索预警订阅服务，基于360全网安全大数据视野，监测勒索攻击的

多个环节，在勒索攻击的准备阶段，以及病毒初始投递阶段，对监管、企业用户提供勒索预

警订阅服务。希望在勒索的前期阶段，进行阻断，避免造成受害单位的进一步损失。2024

年共计捕获勒索攻击事件线索5863起，涉及受害单位2148家，确认勒索病毒家族59个，

攻击IP来源地涉及境外54个国家或地区，配合监管输出勒索攻击事件线索658起，覆盖

全国多个地区。

当前文档对近期再次活跃的Kann勒索软件家族进行了技术分析，并介绍了我们对于被该勒

索家族加密的数据所给出的解密方案及成果。

2

02Kann勒索软件再度活跃

近期，360反病毒团队在监测过程中发现了一款勒索软件开始活跃，其变种名为“.kann”

与“xmrdata”。该勒索软件采用了较为复杂的混合加密策略，利用RC4与AES-CBC-256

算法对受害者文件进行加密，并通过4096位的RSA算法对上述密钥再次进行加密，以此

进一步提升了数据解密的难度。最后，勒索软件会将加密后的文件统一添加“.kann”扩展

名。

而值得注意的是，虽然该勒索组织自认为在密钥管理上非常稳妥，但在随机密钥生成与处理

过程中却存在一定设计缺陷。故此，研究人员通过对加密流程的逆向分析与算法优化，发现，

可以尝试利用当前GPU或高性能CPU的算力，对加密文件进行密钥暴力破解，从而在较

短时间内实现文件解密。这一发现为受害者带来了一线希望，也为防御和应对类似勒索攻击

提供了有价值的参考经验。

3

03Kann勒索样本分析

Kann勒索样本概述

下图展示了该勒索家族加密数据的基本流程，包括使用混合加密方式通过RC4和AES算法

加密文件，再使用RSA对密钥进行加密，以及最终对被加密文件添加“.kann”扩展名等主

要操作：

图1.加密流程示意图

4

密钥与加密