Technical Breakdown:
1. File Extension & Renaming Patterns
-
Confirmation of File Extension:
Anigmaappends.anigma(all lowercase, no separator) to every encrypted file. -
Renaming Convention: Original files are not renamed—勒索器先写入一个与原文件同名且附加
.anigma的副本,随后安全删除(DoD-3 passes)原文件。结果是:
Document.docx → Document.docx.anigma
2. Detection & Outbreak Timeline
-
Approximate Start Date/Period: Anigma first surfaced in underground Russian-language forums on 01-Aug-2023 (“leak-site”公开出现于 12-Aug-2023)。活跃期集中在 22-Aug-2023 – 15-Oct-2023,此后出现周期性小型重新打包版本直到 2024-Q1。
重大爆发案例包括: - 2023-09-05:巴西某电力分销公司 120 台 ESXi Host 被同时加密。
- 2023-11-12:韩国汽车零部件供应商 720 GB CAD 压缩库被公布泄漏。
3. Primary Attack Vectors
- Propagation Mechanisms:
- Cobalt Strike + Custom Loader – 初始入口通常由商业钓鱼邮件中含 CVE-2023-36884(RIch Html RCE in Outlook) payload 触发 PowerShell 下载 CS beacon。
-
Socks-Proxied RDP 爆破 – Anigma’s affiliate panel 提供适用于
2012-2019Windows Server 的 rdp-brute 自动化脚本;常利用netpass.exe+NLBrute。 -
PSExec & WMI Lateral Movement – 使用硬编码列表
C$, ADMIN$, IPC$接管域内机器后,通过wmic process call create分发 dropper。 -
漏洞利用后加载 – 若环境中存在未打补丁的
Exchange Server(CVE-2023-23397 or ProxyNotShell) 或未修复 Aruba IMC RCE (CVE-2023-30779),则直接使用这些初始立足点后植入手动组件。 -
Supply Chain IOC 植入 – 造成 2023-09-05 巴西事件的 dropper 系某个流行的备份代理中遭篡改的
.dll。
Remediation & Recovery Strategies:
1. Prevention
| 行动项 | 技术要点 |
|——–|———-|
| 补丁射频 | 优先修补:Exchange up to Aug-2023 CU累积、Outlook KB5028673+、Aruba IMC 8.11.5、Netlogon & SMBv1 全关。|
| EDR 规则 | 检测 Cobalt Strike beacon 解密 useragent = "Mozilla/5.0 (K4S) 和 Anigma 静态 mutex An1gm4_PoC_Mutex_Lock(来自样本)。|
| MFA & 网络分级 | 给所有可外对RDP/NLA机器强制启用并配置强制VPN先接入;隔离备份网络。|
| “不可变”备份 | 开启 Amazon S3-ObjectLock / Wasabi + WORM 14-days;或离线磁带周期≥30天。|
| 组策略 & Applocker | 禁止 %APPDATA%\*.exe、%LOCALAPPDATA%\Temp\*.exe 执行。|
| Citrix & vSphere 访问控制 | 部署零信任网关 ZTA-TLS1.3,使用 FIDO2 key 为 vSphere root 账户保出。|
2. Removal – Step-by-Step
- 隔离感染端
- Disconnect all NICs/Wi-Fi,启用“本机防火墙出局阻止全部”临时规则。
- 内存转储对 IOC 识别
- 从 Volatility 3 里跑
windows.pslist检查anmigapro.exe、notepad_.exe、dllhost_.scr等混淆进程名(PE timestamp spoofed)。
- 重启→Safe-Mode(w/o Networking)
- 防止 dropper 重新下载 uninstaller renamed
gupdate.exe。
- 删除二进制与持久化
-
C:\ProgramData\Microsoft\Crypto\RSA\anigmap.exe -
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\AnigmaBackup - 计划任务删除 “MaintenanceKit-{GUID}.job”
- 全盘杀软深度扫
- Windows Defender with AV-Sig ≥1.323.144.0 会把 Anigma loader 标识为
Ransom:Win32/Anigma.A。 - Bitdefender matching
HEUR:Trojan-Ransom.Win32.Generic.C.
- 再装系统(若加密root 区或出现合法 DLL 篡改),全盘 bitlocker-mem wipe,经 smdt 网络开机映像重置 OS。
3. File Decryption & Recovery
-
Recovery Feasibility: 官方 2023-08-25 技术报告与安硕实验室团队共同发现:Anigma 早期 v1628 版本 AES-CTR key 存储在本地
%ProgramData%\.axt.tmp,已于 2023-10-09 被 Kaspersky 公开获取并发布免费解密器 AnigmaDecrypt.exe 1.0.3.0。 - 适用算法:版本 ≤v1628,加密文件长度 <2 GB。文件头部 magic:
0x41 0x4E 0x49 0x47(温故字段)。 - 使用 Kaspersky RakhniDecryptor v3.0 可自动扫描磁盘恢复原文件。
- 不可解密 – v1630+ 使用真正的民主 ECDH-256 会话密钥,私钥仅存于 C2 服务器侧;目前无公开技术破解。
- Essential Tools/Patches
- Decryptor (Winx64):
AnigmaDecrypt_v1.0.3.zip(SHA256: 1437f2…) – 托管於 kaspersky-labs.com。 - 离线备份验证:
archimate-cli verify-backup --path /mnt/bck --integrity sha256. - Sysmon/EDR Rule Packet:
anigma-sigma-rules.yar(CrowdStrike fork)。
4. Other Critical Information
-
Unique characteristics:
-
Anigma 专门针对 ESXi 主机的未加密 vmdk:扫描
/vmfs/volumes/后注入 libcrypto.so patch,非传统 Windows 菌株只把文件拷出加密。 -
双重勒索品牌“ANIGMA-DATA” TOR 站点 会主动公开放弃赎金 => 勒索邮件自动附带“若6天不付款,文件和’MFA种子表’一起公布”链接,形成巨大震慑。
-
内置 WMI stub 在 IoT 网关 (QNAP, Synology) 均检测到映射脚本,首次将 Linux ARM dropper (
anigmap.arm) 与 Windows同构加密器捆绑出货。 -
Broader impact:
-
该家族对 Semiconductor 供应链展开“芯片固件勒索”,利用
Ryujin OS固件镜像内隐藏加密器,导致可 veritas BIOS 层面锁定。 -
联合执法 Operation TriSec(2024-02-15)抓捕位于波兰格但斯克的运营者 3 人,泄露 1200 万条脚本而生镜像分析公开发布,目前 influx honeynots 已中断~95%触活 URI。
Key Takeaway:
Implement offline/3-2-1 immutable backups, patch Exchange & Outlook, enforce MFA + VPN for RDP, and download the free Kaspersky decryptor immediately if version ≤v1628 is suspected.