套路千千萬,唯獨這家很特殊,一個新型勒索軟體組織的攻擊政策竟是離間受害者與保險公司。
據Security Affairs 2月21日消息,于去年10月出現的名為HardBit的勒索軟體組織試圖通過這一政策,讓受害者的保險公司承擔勒索贖金。
在HardBit勒索軟體看來,遭受勒索攻擊後,受害者的保險公司大多會以各種理由推脫,拒絕足額賠付,如果受害者能夠與HardBit分享保險範圍的可用性和條款,便能合夥商量如何讓保險公司足額賠付,贖金金額不會超過受害者的投保金額。這樣讓看似受損的隻有保險公司。
可見,該政策的核心是防止保險公司協商降低賠付贖金,在表面上拉攏受害者的同時讓自身的經濟利益最大化。
但同樣的,為了防止受害者恢複加密檔案,該勒索軟體使用服務控制管理器和Windows備份工具目錄删除了卷影複制服務(VSS)以及任何影子副本。
研究人員注意到,該惡意軟體會加密許多檔案,在 Windows 重新啟動時可能會導緻錯誤。為了避免在後續啟動時出現問題,惡意軟體會編輯啟動配置以啟用“忽略任何故障”選項并禁用恢複選項。
為了防止 Windows Defender Antivirus 阻止勒索軟體程序,它對 Windows 系統資料庫進行了多項更改以禁用許多 Windows Defender 功能(即篡改保護、反間諜軟體功能、實時行為監控、實時通路(檔案)保護、和實時程序掃描)。勒索軟體還會将軟體副本複制到受害者的“啟動”檔案夾(如果不存在)來實作持久性,可執行檔案名會模仿合法服務主機可執行檔案 svchost.exe,以避免檢測。
