HavanaCrypt勒索軟體冒充Google軟體更新 App散布，還寄生在微軟代管服務上

惡意軟體經常冒充合法軟體加速擴散，，偽裝成Google軟體更新（Google Software Update）App散布（下圖），還大膽使用微軟的網頁代管IP掩人耳目，並以多種手法躲避安全產品偵測。

圖片來源／趨勢科技

HavanaCrypt是一個.NET應用程式，使用開源的.NET代碼混淆工具Obfuscar（下圖）保護其程式碼，並以名為QueueUserWorkItem的.NET System.Threading命名空間方法，將多個執行步驟佇列執行。分析顯示，它使用了頗高明的手法避免被偵測到。例如，它一經執行即隱藏其視窗、檢查AutoRun登錄檔有無「Google Update」登錄檔，若未找到就繼續執行。接下來，它會啟動反虛擬化流程，旨在確保可迴避VM中的動態分析。例如，它會檢查有無VMWare Tools或vmmouse，或是和VM有關的檔案、執行檔及MAC address。一旦偵測到系統是在VM中執行，就終止執行。

圖片來源／ GitHub

推薦評價好的iphone維修中心

擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢

產品缺大量曝光嗎?你需要的是一流包裝設計

窩窩觸角包含自媒體、自有平台及其他國家營銷業務等，多角化經營並具有國際觀的永續理念。

完成所有檢查後，HavanaCrypt從微軟網頁代管服務的IP位址下載一個批次（batch）檔。這個批次檔包含可設定Windows/Microsoft Defender掃瞄指令，使其略過Windows和User目錄下的任何檔案。它還會關閉數十種行程，包括MS SQL Server、MySQL，以及Microsoft Office和Steam、Firefox等桌機應用程式。

關閉所有行程後，HavanaCrypt會查詢所有磁碟、刪除所有磁碟區陰影複製（shadow copies）、將最大儲存空間調到401MB，再以Windows Management Instrumentation（WMI）辨識出系統復原執行個體，再將之刪除。它還會自我複製執行檔到ProgramData和StartUp資料夾中，並設為隱藏檔或系統檔案。

等完成前述準備動作後，HavanaCrypt得以蒐集機器多項資訊，包括處理器核心數、處理器名稱ID、socket、主機板廠商及名稱、BIOS版本及產品號碼等。

在加密檔案時，這隻惡意軟體利用KeePass Password Safe（下圖）產生加密金鑰。被加密的檔案名稱都會加入.Navana的副檔名。它會避免加密某些副檔名，或是在特定目錄下的檔案，像是Tor瀏覽器，顯示惡意程式作者計畫使用Tor網路和受害者通訊。

研究人員表示，把自己的C&C伺服器架在微軟的網頁代管服務IP位址上，而且使用合法的加密工具KeePass來加密受害者檔案，都是勒索軟體較少見的行為。研究人員尚未發現勒索訊息檔案，顯示它尚未開發完成。

來源鏈接：https://www.ithome.com.tw/news/151892

網頁設計最專業,超強功能平台可客製化

窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸，為每一位客戶客製建立行銷脈絡及洞燭市場先機。

推薦評價好的iphone維修中心

擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢