360预警：动态攻击链推动威胁升级，新一代勒索软件Kalxat来袭

在完成环境部署后，Kalxat启动时会内置多重校验机制，仅在通过全部检测条件时触发核心加密流程：

一、检查是否存在一个名为“no_start”的文件，如存在则退出；

二、检查运行时间，仅在2025年1月~10月期间执行，时间区域外则直接退出；

三、检查系统语言区域，如果属于某些特定国家则退出。具体国家为：俄罗斯、白俄罗斯、乌克兰、乌兹别克斯坦、哈萨克斯坦、塔吉克斯坦、格鲁吉亚、吉尔吉斯斯坦、土库曼斯坦。

Kalxat勒索软件攻击前会篡改注册表、清空日志，并执行PowerShell命令关闭安全防护及虚拟机软件，同时清理防护日志以掩盖行踪。随后，其清除远程桌面协议记录，调用Cipher /w命令彻底擦除已删文件痕迹，并设置2小时后重启。接着，强制终止安全软件、数据库进程，删除所有系统恢复点并禁用Windows Defender。最终，停止数据库服务以避免加密冲突，为全面加密企业数据铺平道路。

在加密策略方面，Kalxat勒索软件对常规文件按大小动态选择部分加密，而对112类高价值扩展名实施全量加密，覆盖虚拟化环境、数据库、地理信息、机器学习模型、办公文档及系统日志等核心领域，直指企业关键数据资产。其加密目标兼具跨平台特性与结构复杂性，同时通过预设规则豁免部分文件加密，显著提升攻击效率与破坏力。

在加密与密钥生成过程中，尽管代码中加密函数被命名为AesEncryptFile，但其核心算法实际采用ChaCha20流密码，加密流程包含三个核心环节——首先动态生成密钥与初始化向量（IV）并进行安全封装，其次将加密参数与文件元数据写入头部，最终实施自适应分块加密。

被加密的文件数据结构图

勒索软件在完成全部加密工作后，会生成名为“INFORMATION.txt”的勒索信，要求受害者将信内ID发到特定邮箱中，以取得初步联系获得赎金报价。

新一代勒索软件Kalxat的爆发充分展现出勒索软件精准化攻击、反溯源能力增强，以及攻防对抗升级的显著趋势。在此背景下，政企机构数字安全建设面临的风险挑战愈加严峻。

目前，360勒索病毒防护解决方案已经实现对该类勒索病毒的全面查杀&解密。同时，针对不同类别的勒索病毒，该方案还根据不同客户体量与需求推出了多元产品及服务套餐，已累计为超万例勒索病毒救援求助提供帮助。