me{f9c7b1c8...}），然后通过 SetVolumeMountPointW 将这些隐藏的卷挂载到新的盘符下，确保加密所有可用的存储空间。图22 SetVolumeMountPointW 代码视图图23 卷挂载字符串解密图24 GetLogicalDriveStringsW 循环4.2.7 受害者信息统计在执行加密前，样本会向服务器发送请求。地址： https://iplogger.co/14KyV4.torrent分析： iplogger.co 是一个常见的 IP 追踪服务。攻击者利用它来统计受害者的 IP 地址、地理位置等信息，而非用于复杂的命令控制。这是一种低成本且隐蔽的上线统计方式。图25 InternetOpenUrlW 发送请求代码视图4.2.8 文件加密逻辑 (The Core)这是勒索软件最核心的部分。1.遍历文件： 遍历磁盘文件。2.文件过滤： 避开特定的系统目录（如 Windows），防止系统崩溃导致无法支付赎金。图26 文件遍历与路径过滤代码视图3.获取文件大小： 使用 GetFileSizeEx 获取目标文件大小。图27 GetFileSizeEx 代码视图4.加密执行： 读取文件内容，采用 ChaCha20 算法进行流加密。图28 ReadFile 读取文件代码视图5.分块加密策略：为了平衡速度与破坏性，BEAST 采取分块加密。加密块大小： 0x20000 (约 0.125MB)。模式： [加密块] -> [未加密块] -> [加密块] -> [未加密块]...这种“斑马纹”式的加密方式足以破坏文件结构，同时大幅缩短大文件的加密时间。图29 SetFilePointerEx 和 WriteFile 循环代码视图图30 分块加密结构示意图6.写入标志加密完成后，会在文件末尾写入加密标志及相关元数据，包括 CRC32 校验密钥。文件尾部特征： 0x00... 0x66, 0x6B, 0xEA, 0x57, 0x1A, 0xBE, 0x16, 0x660x00, 0x00, 0x00, 0x00,0x00, 0x00, 0x66, 0x6B, 0xEA, 0x57, 0x1A, 0xBE, 0x16, 0x66BEAST 勒索家族虽然技术上并未展现出颠覆性的创新（依然是主流加密算法的组合），但其 针对性的区域规避策略、对特定服务的精准打击（如杀进程、挂载隐藏卷）以及 高效的分块加密算法，使其成为制造业等实体行业数据安全的重大威胁。针对此类威胁，建议企业采取以下防护措施：1.资产梳理与加固： 定期排查对外暴露的 RDP 服务，关闭不必要的端口，并启用多因素认证 (MFA)。2.数据备份： 严格执行 3-2-1 备份策略，且必须包含离线备份。由于 BEAST 会挂载隐藏卷并清空回收站，在线备份极易同时被毁。3.终端防护： 部署具备行为检测能力的 EDR 产品，及时拦截修改注册表启动项、异常挂载驱动器等可疑行为。4.供应链关注： 鉴于其 RaaS 的特性，需警惕来自供应链上下游的潜在渗透风险。