心理战与离间计？HardBit2.0新型勒索病毒防护实战

正版化技术交流 2023-10-16 09:14:58  64951

分类专栏：资讯

2022年10月，HardBit勒索软件被首次发现，该勒索软件针对企业开发，通过加密受害者的数据勒索比特币赎金。HardBit的演变速度十分惊人，在2022年11月底就推出了HardBit2.0并活跃至今。

HardBit2.0的心理渗透

为了让自身的经济利益最大化，HardBit2.0在业务运营方面做足了功夫。他们并没有采用公开私人信息的威胁方式对受害者步步紧逼，反而如温水煮青蛙一般，利用视觉信息、勒索话术等手段精准地引导受害者情绪，让其在他们精心构建的情境中一步步踏入陷阱。

图 1HardBit2.0勒索信息

HardBit2.0被激活后，会将受害者的桌面壁纸替换为巨大的HardBit2.0标志，宣告勒索加密的开始，这强烈的视觉冲击直接将受害者置于巨大的心理压力之下，为后续的勒索铺平了道路。

图 2HardBit2.0改变桌面壁纸

紧接着，HardBit2.0会遍历系统文件，将数据文件全部加密，并修改图标和文件名称，释放赎金票据。此外，他们还会将桌面壁纸再次更换，引导受害者查看勒索信。这一系列操作意在制造恐慌，进一步加大受害者的心理压力。而这种情绪上的压迫感，正是HardBit2.0策略中的重要一环。

图 3HardBit2.0加密数据文件

其次，他们会同时弹出多封相同的勒索信《Help_me_for_Decrypt》，鼓励受害者与他们联系。HardBit2.0在勒索信中并不急于指定赎金数目，而是通过勾勒一种模糊的和解前景，以寻求与受害者进行谈判。

图 4HardBit2.0勒索信《Help_me_for_Decrypt》

HardBit2.0的勒索策略表现在渐进式威胁和情绪引导。他们在传递文本和视觉信息、心理暗示方面做出了远多于其他勒索软件的动作，先让受害者在无形中感受到巨大的压力，又试图在受害者心中营造一个“柳暗花明”的假象，使受害者更容易支付赎金。但至此似乎并不足以让受害者“心甘情愿”地支付赎金。实际上，在展开所有的心理铺垫之后，HardBit2.0的终极王牌才刚刚揭晓。

HardBit2.0的离间之术

当您面临勒索困境时，如果有一个机会能够无需付出任何金钱代价就能取回加密数据，您会如何抉择？

图 5HardBit2.0勒索信《How To Restore Your Files》

HardBit团队在勒索信中声称，保险公司会想尽办法破坏用户与勒索组织的谈判，并以勒索金额超出保险范围为由降低保险赔付金额或完全拒绝赔付。因此，HardBit团队建议已投保企业与他们分享保单信息，并保证勒索赎金不会高于保险条款约定的额度。

图 6HardBit2.0离间计

这支资深黑客团队理解保险公司的运作模式，熟知如何回避风险，深谙保险公司的勒索赔付策略，他们清醒地知道，保险公司是这场金钱游戏的核心。于是他们巧妙地施展一出离间计，将保险公司置于受害人的对立面，哄骗受害人与他们站在同一阵营，而自己将在受害人与保险公司的猜忌、倾轧之中坐收渔翁之利。

HardBit2.0的攻击流程

HardBit2.0在入侵主机后执行有效负载并收集主机信息，先进行VSS删除、备份目录删除、卷影删除、取消修复模式自启等操作防止受害者恢复数据文件，然后限制主机的安全状况，篡改注册表以禁用许多 Windows Defender 功能，如篡改保护、实时进程扫描、实时行为监控等，接着终止常见服务进程，将软件复制到启动文件夹实现持久化。

图 7HardBit2.0调用命令行

图 8 HardBit2.0篡改注册表

最后遍历文件开始加密过程，修改数据文件图标及名称，并释放txt格式勒索信、hta格式勒索信以及设置为桌面壁纸的HARDBIT图像文件。

图 9HardBit2.0加密文件对比图

威努特主机防勒索实战

——HardBit2.0

威努特主机防勒索系统可以精准检测到HardBit2.0的恶意行为，及时地对终止进程、卷影删除等行为进行拦截。如下图，防勒索系统拦截了HardBit2.0对卷影还原点的删除行为，并成功阻断了net1.exe的stop命令。

图 10威努特主机防勒索系统拦截HardBit2.0进程终止、卷影删除行为

威努特主机防勒索系统创新性地采用动态诱捕+静态诱捕结合的方式对病毒的加密行为进行拦截。独有的动态诱捕技术可以在Hardbit2.0遍历文件时优先将诱饵文件返回，能够第一时间阻止勒索病毒的加密动作，同时中断HardBit2.0进程。

图 11威努特主机防勒索系统动态诱捕流程

图 12威努特主机防勒索系统成功诱捕HardBit2.0

威努特主机防勒索系统在捕获HardBit2.0进程后将其隔离，保证病毒无法再次运行。

图 13威努特防勒索系统成功隔离HardBit2.0

威努特主机防勒索

专防专治勒索病毒

威努特主机防勒索系统综合勒索行为检测、数据安全保护、系统资源保护、数据备份与恢复等完整的、闭环的安全能力，可对全球范围内各类已知、新型勒索病毒有效检测，自威努特主机防勒索系统发布以来，各类新型勒索病毒，无论是Darkside、tellyouthepass、Devos、Mallox、Phobos、Money Message、Hive、Medusa还是本次测试的HardBit2.0，均能有效防范。

威努特主机防勒索系统（防病毒）是专防专治勒索病毒的终端安全产品，产品深度结合操作系统内核驱动，以勒索行为监测、勒索病毒诱捕、系统资源保护、关键业务保护、核心数据保护、数据智能备份等多项创新技术，精准识别勒索软件、保护系统资源不被破坏、保护业务应用免遭中断、保护业务数据不被篡改、备份业务数据并恢复，实现事前预防、事中检测/阻断、事后恢复的勒索病毒综合防范。

网站声明：如果转载，请联系本站管理员。否则一切后果自行承担。

本文链接：https://www.xckfsq.com/news/show.html?id=27609

赞同 1

评论 0 条

心理战与离间计？HardBit2.0新型勒索病毒防护实战

相关文章

关注我们