系统瘫痪7天，损失超20万：深度复盘四川德阳超市勒索案

导读
近日，据CCTV及多家媒体报道，四川德阳一家连锁超市遭遇了勒索软件攻击。黑客将其管理系统、货物库存、商家供货及会员储值等核心数据全部加密锁定。此次攻击导致超市旗下几家分店连续7天无法恢复营业，直接经济损失超过20万元。
这起事件再次为所有中小企业的IT安全敲响了警钟。虽然警方迅速破案，跨省抓捕了嫌疑人王某，但其使用的作案工具更值得我们深入研究。
根据可靠线报与技术分析，此次攻击中使用的并非某些简报中提及的Lockbit，而是技术特征更为鲜明、疑似有国内人员参与的——Kann勒索软件家族（变种.kann / .xmrdata）。

一、事件回顾：赌徒的绝望与超市的灾难

根据封面新闻和CCTV的报道，这起事件的脉络清晰地指向了一个孤狼式的攻击者：

受害企业： 四川德阳某连锁超市。
灾难后果： 今年5月，超市管理系统突然死机，数据全被加密，旗下超市停业一周，损失逾20万。
攻击者画像： 犯罪嫌疑人王某，重庆人。
作案动机： 王某自2017年开始交易虚拟货币，几年下来血本无归，欠下大量外债。急于挣快钱的他动了歪心思，开始学习网络攻击技术。
作案手法： 警方通报，王某利用涉及境外多国的远程虚拟IP地址，利用数据库漏洞入侵服务器，并先后迫使30余家企业缴纳赎金。

素材来源：央视新闻

素材来源：四川公安

目前王某已被抓获

王某已被抓获，但勒索软件的流通仍在继续。下面，我们将深入分析此次事件的主角——Kann勒索软件。

二、深度分析：Kann勒索软件的技术矛盾体

Kann是一个非常矛盾的勒索软件。它既有专业黑客的周密与恶毒，又在最关键的地方留下了业余的致命缺陷。

（一）特征一：高度疑似国产的勒索信

Kann勒索信最引人注目的，是它同时内置了英语、中文、俄语三个版本。

kann勒索信特征

与其它勒索软件的生硬机翻不同，它的中文版本行文流畅、措辞老练（这只是一门生意、在实践中，时间比金钱更有价值），完全是中文母语使用者的风格。这强烈暗示，该勒索软件的开发者或核心团队中，极有可能有精通中文的国内人员参与。

（二）特征二：专业、恶毒的扫尾工作

Kann在加密数据后，会执行一套组合拳，彻底摧毁受害者的恢复希望：

删除卷影副本： 它会通过cmd.exe、powershell.exe等多种手段，调用bcdedit.exe禁用系统恢复，并使用wbadmin DELETE SYSTEMSTATEBACKUP和wmic shadowcopy delete等命令，删除所有卷影备份。
擦除数据痕迹： 这是最恶毒的一步。它会调用Windows自带的cipher.exe /w:命令。此命令会用随机数据（0x00, 0xFF）覆写磁盘上的已删除空间。这意味着，即使受害者尝试用数据恢复软件找回被删除的原始文件，也已彻底不可能。

素材来源360：删除卷影以及禁用恢复

素材来源360：调用 cipher 工具彻底清理被删除文件

（三）特征三：复杂但画蛇添足的加密流程

Kann采用了“AES+RC4+RSA”的混合加密策略。理论上，它首先使用RC4加密整个文件，再用AES-CBC-256加密文件头部2000字节，最后用RSA-4096公钥加密RC4和AES的密钥。这套流程本应固若金汤。

素材来源360：加密流程示意图

（四）致命缺陷：一行代码毁所有

然而，分析报告指出，开发者在传入AES和RC4密钥时，错误地将密钥转为了UTF-16LE格式，导致实际参与加密的密钥只是原密钥串的一小部分。

这个低级失误让RSA-4096的防护形同虚设，使得暴力破解密钥成为可能。

GPU破解： 使用NVIDIA GeForce GTX 1660 Ti显卡，仅用时不到10分钟便成功破解。
CPU破解： 即使没有显卡，使用Intel i9处理器，也仅需2个多小时即可成功。

素材来源360：1660 Ti 解密成功

素材来源360：调用 i9 处理器解密成功

三、警示与防范：幸存者的生存指南

德阳超市此次遭遇Kann勒索，是不幸中的万幸——他们恰好遇到了一个有缺陷的、可被解密的病毒。但如果下一次遇到的是完美的勒索软件呢？

我们不能将企业的生死存亡，寄希望于黑客的疏忽。

遭遇攻击：黄金止血四步法 作为在勒索对抗一线多年的专业团队，我们建议：万一中招，保持冷静，不要支付赎金，并严格执行以下动作：
1. 第一步：隔离！隔离！隔离！（立即拔网线、关Wi-Fi），防止横向扩散。
2. 第二步：评估损失范围。
3. 第三步：保护现场，不要关机！
4. 第四步：寻求专业应急响应。

（以上步骤详细解读，请参考我们（思而听Solar应急响应团队）的科普文章： 【首发科普】来自专业团队的忠告！遇到勒索病毒应如何自救

漏洞复盘：此次德阳超市事件，警方通报是利用数据库漏洞入侵。这与Kann勒索软件会特意排除.Lock和.DEVOS家族（因为入侵方式相同）的特征不谋而合。这种撞车现象，说明他们都依赖最常见、最高效的入侵路径——公网暴露的RDP/VPN/数据库的默认口令或弱口令！ 1.这与我们（思而听Solar应急响应团队）在Solar安全洞察 | 10月勒索态势月报中揭示的核心威胁完全一致：最昂贵的防火墙，也抵不过一个最简单的默认密码。 2.10月份针对虚拟化平台的攻击，和此次针对超市数据库的攻击，本质上都是企业对“弱口令”这一基础安全配置的极度忽视。 3.详情可参考：【紧急预警】一个默认密码引发的系统雪崩：盗版Mallox家族正利用默认口令批量攻陷虚拟化平台
构筑防线：从亡羊补牢到未雨绸缪: 对比瑞典国家电网遭勒索这类关键基础设施事件，德阳超市这样的中小企业受害，更具普遍性。我们必须从技术和管理两方面构筑安全长城： 1.唯一的后悔药（备份）： 严格执行3-2-1备份原则，确保至少1份备份是离线或异地的。 2.管好大门（访问控制）： 消灭弱口令！所有远程访问入口必须部署MFA（多因素认证）。 3.纵深防御（终端防护）： 部署具备行为检测和勒索专项防护能力的EDR/XDR产品，例如SAR智能勒索防护产品，它能通过AI模型分析行为，在加密动作造成大规模破坏前将其拦截。 4.纵深防御体系架构示意图 SAR产品拦截勒索软件介绍