TrendMicro研究人员表示,他们发现了最新的威胁,称为“HavanaCrypt”,这是一个使用开源的勒索软件包。NET混淆器Obfuscar,它伪装成Google软件更新并诱骗用户点击它。当HavanaCrypt开始执行进程时,勒索病毒通过系统中的ShowWindow函数隐藏其窗口,并为其设置参数0。该勒索病毒还拥有多种反虚拟化技术,帮助其避免在虚拟环境中执行时的动态分析。机器。一旦发现系统运行在虚拟机环境中,软件会自动终止进程。“勒索软件的作者很可能计划通过Tor浏览器进行通信,因为Tor是它避免加密文件的目录之一,”趋势科技研究人员在他们的分析中写道。HavanaCrypt还加密了文本文件foo。txt,并且不会删除赎金记录。这可能表明HavanaCrypt仍在开发中。”HavanaCrypt正在为越来越多的勒索软件攻击提供支持。据收集和识别威胁的网络安全供应商IntelligentProtectionNetwork称,趋势科技检测并阻止了超过440万个勒索软件威胁,这些威胁是通过第一季度的电子邮件、URL和文件层,环比增长37%,其中包括散布自2017年以来一直存在的Magniber勒索软件的虚假Windows更新,以及使用虚假MicrosoftEdge和GoogleChrome更新推送的攻击在对HavanaCrypt的分析中,趋势科技指出,勒索软件的流行植根于其进化性质,采用不断变化的策略和方案来欺骗毫无戒心的受害者并成功渗透到环境中,今年的报告称勒索软件以假冒的形式分发Windows10、GoogleChrome和MicrosoftExchange更新以欺骗潜在受害者进入下载恶意文件,它说。随着过去几年勒索软件即服务(RaaS)模型的兴起,代码开发人员将勒索软件出租给其他网络犯罪分子,用于他们的活动以减少支付的赎金,而攻击者则使用双重勒索,而不是只是加密文件,还窃取文件并将其用作威胁,如果不支付赎金,就会公开泄露数据并损害受害者的声誉。MalwarebytesLab分析师今年早些时候在一篇关于大规模攻击概述的博客文章中写道:“及时更新应用软件可以说是保护网络安全最有用的事情。企业、专家和分析师永远不会让用户忘记它。“诚然,及时更新是一个很好的习惯,但最近的网络犯罪分子喜欢利用这一点,使用虚假的软件更新来欺骗用户。来源:https://www.theregister.com/2022/07/11/havanacrypt-勒索软件-谷歌更新/
