心理戰與離間計?HardBit2.0新型勒索病毒防護實戰
2022年10月,HardBit勒索軟件被首次發現,該勒索軟件針對企業開發,通過加密受害者的數據勒索比特幣贖金。 HardBit的演變速度十分驚人,在2022年11月底就推出了HardBit2.0并活躍至今。
01
HardBit2.0的心理滲透
為了讓自身的經濟利益最 大化,HardBit2.0在業務運營方面做足了功夫。 他們并沒有采用公開私人信息的威脅方式對受害者步步緊逼,反而如溫水煮青蛙一般,利用視覺信息、勒索話術等手段精準 地引導受害者情緒,讓其在他們精心構建的情境中一步步踏入陷阱。
圖 1HardBit2.0勒索信息
HardBit2.0被激活后,會將受害者的桌面壁紙替換為巨大的HardBit2.0標志,宣告勒索加密的開始,這強烈的視覺沖擊直接將受害者置于巨大的心理壓力之下,為后續的勒索鋪平了道路。
圖 2HardBit2.0改變桌面壁紙
緊接著,HardBit2.0會遍歷系統文件,將數據文件全部加密,并修改圖標和文件名稱,釋放贖金票據。此外,他們還會將桌面壁紙再次更換,引導受害者查看勒索信。這一系列操作意在制造恐慌,進一步加大受害者的心理壓力。而這種情緒上的壓迫感,正是HardBit2.0策略中的重要一環。
圖 3HardBit2.0加密數據文件
其次,他們會同時彈出多封相同的勒索信《Help_me_for_Decrypt》,鼓勵受害者與他們聯系。HardBit2.0在勒索信中并不急于指定贖金數目,而是通過勾勒一種模糊的和解前景,以尋求與受害者進行談判。
圖 4HardBit2.0勒索信《Help_me_for_Decrypt》
HardBit2.0的勒索策略表現在漸進式威脅和情緒引導。他們在傳遞文本和視覺信息、心理暗示方面做出了遠多于其他勒索軟件的動作,先讓受害者在無形中感受到巨大的壓力,又試圖在受害者心中營造一個“柳暗花明”的假象,使受害者更容易支付贖金。但至此似乎并不足以讓受害者“心甘情愿”地支付贖金。實際上,在展開所有的心理鋪墊之后,HardBit2.0的終極王牌才剛剛揭曉。
02
HardBit2.0的離間之術
當您 面臨勒索困境時,如果有一個機會能夠 無需付出任何金錢代價就能取回加密數據 ,您會如何抉擇?
圖 5HardBit2.0勒索信《How To Restore Your Files》
HardBit團隊在勒索信中聲稱,保險公司會想盡辦法破壞用戶與勒索組織的談判,并以勒索金額超出保險范圍為由降低保險賠付金額或完全拒絕賠付。因此,HardBit團隊建議已投保企業與他們分享保單信息,并保證勒索贖金不會高于保險條款約定的額度。
圖 6HardBit2.0離間計
這支資深黑客團隊理解保險公司的運作模式,熟知如何回避風險,深諳保險公司的勒索賠付策略,他們清醒地知道,保險公司是這場金錢游戲的核心。于是他們巧妙地施展一出離間計,將保險公司置于受害人的對立面,哄騙受害人與他們站在同一陣營,而自己將在受害人與保險公司的猜忌、傾軋之中坐收漁翁之利。
03
HardBit2.0的攻擊流程
HardBit2.0在入侵主機后執行有效負載并收集主機信息,先進行VSS刪除、備份目錄刪除、卷影刪除、取消修復模式自啟等操作防止受害者恢復數據文件,然后限制主機的安全狀況,篡改注冊表以禁用許多 Windows Defender 功能,如篡改保護、實時進程掃描、實時行為監控等,接著終止常見服務進程,將軟件復制到啟動文件夾實現持久化。
圖 7HardBit2.0調用命令行
圖 8 HardBit2.0篡改注冊表
最后遍歷文件開始加密過程,修改數據文件圖標及名稱,并釋放txt格式勒索信、hta格式勒索信以及設置為桌面壁紙的HARDBIT圖像文件。
圖 9HardBit2.0加密文件對比圖
04
威努特主機防勒索實戰
——HardBit2.0
威努特主機防勒索系統可以精準檢測到HardBit2.0的惡意行為,及時地對終止進程、卷影刪除等行為進行攔截。如下圖,防勒索系統攔截了HardBit2.0對卷影還原點的刪除行為,并成功阻斷了net1.exe的stop命令。
圖 10威努特主機防勒索系統攔截HardBit2.0進程終止、卷影刪除行為
威努特主機防勒索系統創新性地采用動態誘捕+靜態誘捕結合的方式對病毒的加密行為進行攔截。獨有的動態誘捕技術可以在Hardbit2.0遍歷文件時優先將誘餌文件返回,能夠第一時間阻止勒索病毒的加密動作,同時中斷HardBit2.0進程。
圖 11威努特主機防勒索系統動態誘捕流程
圖 12威努特主機防勒索系統成功誘捕HardBit2.0
威努特主機防勒索系統在捕獲HardBit2.0進程后將其隔離,保證病毒無法再次運行。
圖 13威努特防勒索系統成功隔離HardBit2.0
