勒索軟體HavanaCrypt假冒Google軟體更新App,藉微軟Web Hosting服務IP躲避偵測

安全廠商趨勢科技發現一個新的勒索軟體HavanaCrypt冒充Google軟體更新(SoftwareUpdate) App在網路上散佈。

安全廠商趨勢科技發現一個新的勒索軟體HavanaCrypt冒充Google軟體更新(SoftwareUpdate) App在網路上散佈。

HavanaCrypt有多項進階能力,包括反虛擬化檢查,使用一個微軟網頁代管服務的IP位址作為指揮與控制(C&C)伺服器,藉此躲避偵測。

趨勢科技分析HavanaCrypt時還發現它使用.NET System.Threading命名空間方法功能,可佇列執行方法,並在加密檔案過程中使用開原碼密碼管理員的模組。

Source: 趨勢科技

HavanaCrypt是以.NET組譯,並使用開源的代碼混淆工具Obfuscar保護,在執行後可隱藏其視窗,然後檢查AutoRun登錄檔有無「Google Update」登錄檔,若未找到就接續執行。

其次它進行反虛擬化作業,目的在VM 中執時避免動態分析。包括4個階段:一、它首先檢查和VM相關的服務、接著找和VM應用程式相關的檔案、再找VM執行檔的檔名,最後檢查該台機器的MAC address。

一旦完成所有檢查,HavanaCrypt即從微軟網頁代管服務的IP下載一個名為2.txt的檔案,將之存成.bat檔再執行。這個批次檔包含Windows Defender指令,會使其跳過不偵測Windows及User目錄。接著這隻勒索軟體即終止多個執行中的行程,包括資料庫(Microsoft SQL Server和MySQL)應用以及微軟Office和Steam的應用程式。

接下來,HavanaCrypt會查詢所有磁碟、刪除所有磁碟區陰影複製(shadow copies),再使用Windows Management Instrumentation(WMI)辨識出系統回復執行個體,再將之刪除。之後,HavanaCrypt會把它的執行檔丟進ProgramData和StartUp(啟動)資料夾下,設為隱藏系統檔,再把一個包含關閉任務管理員功能的批次檔丟入「User Startup」資料夾下。

HavanaCrypt會根據系統資訊,如行程核心和ID、處理器名稱、socket、主機板廠商、BIOS版本及產品序號等產生獨特辨識碼(UID)。

在加密檔案時,這隻惡意軟體利用KeePass Password Safe的CryptoRandom功能產生加密金鑰。被加密的檔案名稱都會加入.Navana的副檔名,而且它會避免加密具有某些副檔名,或是在特定目錄下的檔案,像是Tor瀏覽器,顯示惡意程式作者計畫使用Tor網路和受害者通訊。

HavanaCrypt還新建foo.txt文字檔來紀錄所有包含被加密檔的目錄,這檔案也會被加密。

研究人員卻沒看到HavanaCrypt的勒索信檔案。這表示這隻勒索軟體可能還在開發中。

來源:SecurityWeek

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416