趨勢(shì)科技（ Trend Micro ）的研究人員稱(chēng)他們發(fā)現(xiàn)了最新的威脅，被稱(chēng)為 “HavanaCrypt”，這是一個(gè)贖金軟件包，該惡意軟件使用開(kāi)源的.NET混淆器Obfuscar編寫(xiě)，并將自身偽裝成谷歌軟件更新，誘使用戶(hù)點(diǎn)擊。

當(dāng)HavanaCrypt開(kāi)始執(zhí)行進(jìn)程時(shí)，該勒索軟件會(huì)通過(guò)使用系統(tǒng)中的ShowWindow函數(shù)隱藏其窗口，給它一個(gè)0的參數(shù)。該勒索軟件還有多種反虛擬化技術(shù)，幫助它在虛擬機(jī)中執(zhí)行時(shí)避免動(dòng)態(tài)分析，一旦發(fā)現(xiàn)系統(tǒng)在虛擬機(jī)環(huán)境中運(yùn)行，該軟件將會(huì)自動(dòng)終止進(jìn)程。

趨勢(shì)科技的研究人員在分析中寫(xiě)道：“該勒索軟件的作者極有可能計(jì)劃通過(guò)Tor瀏覽器進(jìn)行通信，因?yàn)門(mén)or的是它避免加密文件的目錄之一。同時(shí)HavanaCrypt還加密了文本文件foo.txt，并且不會(huì)丟棄贖金條。這可能是一個(gè)表明HavanaCrypt仍處于開(kāi)發(fā)階段的跡象。”

HavanaCrypt正在為日益增長(zhǎng)的勒索軟件攻擊提供支持。據(jù)收集和識(shí)別威脅的網(wǎng)絡(luò)安全供應(yīng)商智能保護(hù)網(wǎng)絡(luò)稱(chēng)，趨勢(shì)科技在第一季度檢測(cè)并阻止了超過(guò)440萬(wàn)個(gè)通過(guò)電子郵件、URL和文件層出現(xiàn)的勒索軟件威脅，季度環(huán)比增長(zhǎng)了37%，這其中包括從2017年就已經(jīng)存在的分發(fā)Magniber勒索軟件的假Windows更新以及使用假微軟Edge和谷歌瀏覽器更新來(lái)推送Magnitude漏洞的攻擊。

趨勢(shì)科技在針對(duì)HavanaCrypt的分析中指出，勒索軟件的普遍性植根于它的進(jìn)化性，它采用不斷變化的戰(zhàn)術(shù)和計(jì)劃來(lái)欺騙不知情的受害者，并成功地滲透到環(huán)境中，今年有報(bào)告稱(chēng)，勒索軟件會(huì)偽裝成虛假的Windows 10、谷歌瀏覽器和微軟Exchange更新分發(fā)，以欺騙潛在的受害者下載惡意文件。

過(guò)去幾年勒索軟件即服務(wù)（RaaS）模式的興起，代碼開(kāi)發(fā)人員將勒索軟件租賃給其他網(wǎng)絡(luò)犯罪分子，用于他們的攻擊活動(dòng)以削減已支付的贖金，同時(shí)攻擊者會(huì)采用雙重勒索，不僅加密文件，還竊取文件，并以此為威脅稱(chēng)如果不支付贖金，將公開(kāi)泄露數(shù)據(jù)并損害受害者的聲譽(yù)。

Malwarebytes Lab分析師在今年早些時(shí)候的一篇關(guān)于大規(guī)模攻擊概述的博客文章中寫(xiě)道：“及時(shí)更新應(yīng)用軟件可以說(shuō)是您保持網(wǎng)絡(luò)安全所能做的最有用的事情，像我們這樣的供應(yīng)商、專(zhuān)家和分析師永遠(yuǎn)不會(huì)讓用戶(hù)忘記這件事?！闭\(chéng)然及時(shí)更新是一個(gè)非常好的習(xí)慣，但近來(lái)的網(wǎng)絡(luò)犯罪分子喜歡利用這一點(diǎn)，使用虛假的軟件更新來(lái)欺騙用戶(hù)。

消息來(lái)源：https://www.theregister.com/2022/07/11/havanacrypt-ransomware-google-update/