心理战与离间计?HardBit2.0新型勒索病毒防护实战
2022年10月,HardBit勒索软件被首次发现,该勒索软件针对企业开发,通过加密受害者的数据勒索比特币赎金。 HardBit的演变速度十分惊人,在2022年11月底就推出了HardBit2.0并活跃至今。
01
HardBit2.0的心理渗透
为了让自身的经济利益最 大化,HardBit2.0在业务运营方面做足了功夫。 他们并没有采用公开私人信息的威胁方式对受害者步步紧逼,反而如温水煮青蛙一般,利用视觉信息、勒索话术等手段精准 地引导受害者情绪,让其在他们精心构建的情境中一步步踏入陷阱。
图 1HardBit2.0勒索信息
HardBit2.0被激活后,会将受害者的桌面壁纸替换为巨大的HardBit2.0标志,宣告勒索加密的开始,这强烈的视觉冲击直接将受害者置于巨大的心理压力之下,为后续的勒索铺平了道路。
图 2HardBit2.0改变桌面壁纸
紧接着,HardBit2.0会遍历系统文件,将数据文件全部加密,并修改图标和文件名称,释放赎金票据。此外,他们还会将桌面壁纸再次更换,引导受害者查看勒索信。这一系列操作意在制造恐慌,进一步加大受害者的心理压力。而这种情绪上的压迫感,正是HardBit2.0策略中的重要一环。
图 3HardBit2.0加密数据文件
其次,他们会同时弹出多封相同的勒索信《Help_me_for_Decrypt》,鼓励受害者与他们联系。HardBit2.0在勒索信中并不急于指定赎金数目,而是通过勾勒一种模糊的和解前景,以寻求与受害者进行谈判。
图 4HardBit2.0勒索信《Help_me_for_Decrypt》
HardBit2.0的勒索策略表现在渐进式威胁和情绪引导。他们在传递文本和视觉信息、心理暗示方面做出了远多于其他勒索软件的动作,先让受害者在无形中感受到巨大的压力,又试图在受害者心中营造一个“柳暗花明”的假象,使受害者更容易支付赎金。但至此似乎并不足以让受害者“心甘情愿”地支付赎金。实际上,在展开所有的心理铺垫之后,HardBit2.0的终极王牌才刚刚揭晓。
02
HardBit2.0的离间之术
当您 面临勒索困境时,如果有一个机会能够 无需付出任何金钱代价就能取回加密数据 ,您会如何抉择?
图 5HardBit2.0勒索信《How To Restore Your Files》
HardBit团队在勒索信中声称,保险公司会想尽办法破坏用户与勒索组织的谈判,并以勒索金额超出保险范围为由降低保险赔付金额或完全拒绝赔付。因此,HardBit团队建议已投保企业与他们分享保单信息,并保证勒索赎金不会高于保险条款约定的额度。
图 6HardBit2.0离间计
这支资深黑客团队理解保险公司的运作模式,熟知如何回避风险,深谙保险公司的勒索赔付策略,他们清醒地知道,保险公司是这场金钱游戏的核心。于是他们巧妙地施展一出离间计,将保险公司置于受害人的对立面,哄骗受害人与他们站在同一阵营,而自己将在受害人与保险公司的猜忌、倾轧之中坐收渔翁之利。
03
HardBit2.0的攻击流程
HardBit2.0在入侵主机后执行有效负载并收集主机信息,先进行VSS删除、备份目录删除、卷影删除、取消修复模式自启等操作防止受害者恢复数据文件,然后限制主机的安全状况,篡改注册表以禁用许多 Windows Defender 功能,如篡改保护、实时进程扫描、实时行为监控等,接着终止常见服务进程,将软件复制到启动文件夹实现持久化。
图 7HardBit2.0调用命令行
图 8 HardBit2.0篡改注册表
最后遍历文件开始加密过程,修改数据文件图标及名称,并释放txt格式勒索信、hta格式勒索信以及设置为桌面壁纸的HARDBIT图像文件。
图 9HardBit2.0加密文件对比图
04
威努特主机防勒索实战
——HardBit2.0
威努特主机防勒索系统可以精准检测到HardBit2.0的恶意行为,及时地对终止进程、卷影删除等行为进行拦截。如下图,防勒索系统拦截了HardBit2.0对卷影还原点的删除行为,并成功阻断了net1.exe的stop命令。
图 10威努特主机防勒索系统拦截HardBit2.0进程终止、卷影删除行为
威努特主机防勒索系统创新性地采用动态诱捕+静态诱捕结合的方式对病毒的加密行为进行拦截。独有的动态诱捕技术可以在Hardbit2.0遍历文件时优先将诱饵文件返回,能够第一时间阻止勒索病毒的加密动作,同时中断HardBit2.0进程。
图 11威努特主机防勒索系统动态诱捕流程
图 12威努特主机防勒索系统成功诱捕HardBit2.0
威努特主机防勒索系统在捕获HardBit2.0进程后将其隔离,保证病毒无法再次运行。
图 13威努特防勒索系统成功隔离HardBit2.0
