心理战与离间计？HardBit2.0新型勒索病毒防护实战

2022年10月，HardBit勒索软件被首次发现，该勒索软件针对企业开发，通过加密受害者的数据勒索比特币赎金。HardBit的演变速度十分惊人，在2022年11月底就推出了HardBit2.0并活跃至今。

01

HardBit2.0的心理渗透

为了让自身的经济利益最大化，HardBit2.0在业务运营方面做足了功夫。他们并没有采用公开私人信息的威胁方式对受害者步步紧逼，反而如温水煮青蛙一般，利用视觉信息、勒索话术等手段精准地引导受害者情绪，让其在他们精心构建的情境中一步步踏入陷阱。

图 1HardBit2.0勒索信息

HardBit2.0被激活后，会将受害者的桌面壁纸替换为巨大的HardBit2.0标志，宣告勒索加密的开始，这强烈的视觉冲击直接将受害者置于巨大的心理压力之下，为后续的勒索铺平了道路。

图 2HardBit2.0改变桌面壁纸

紧接着，HardBit2.0会遍历系统文件，将数据文件全部加密，并修改图标和文件名称，释放赎金票据。此外，他们还会将桌面壁纸再次更换，引导受害者查看勒索信。这一系列操作意在制造恐慌，进一步加大受害者的心理压力。而这种情绪上的压迫感，正是HardBit2.0策略中的重要一环。

图 3HardBit2.0加密数据文件

其次，他们会同时弹出多封相同的勒索信《Help_me_for_Decrypt》，鼓励受害者与他们联系。HardBit2.0在勒索信中并不急于指定赎金数目，而是通过勾勒一种模糊的和解前景，以寻求与受害者进行谈判。

图 4HardBit2.0勒索信《Help_me_for_Decrypt》

HardBit2.0的勒索策略表现在渐进式威胁和情绪引导。他们在传递文本和视觉信息、心理暗示方面做出了远多于其他勒索软件的动作，先让受害者在无形中感受到巨大的压力，又试图在受害者心中营造一个“柳暗花明”的假象，使受害者更容易支付赎金。但至此似乎并不足以让受害者“心甘情愿”地支付赎金。实际上，在展开所有的心理铺垫之后，HardBit2.0的终极王牌才刚刚揭晓。

02

HardBit2.0的离间之术

当您面临勒索困境时，如果有一个机会能够无需付出任何金钱代价就能取回加密数据，您会如何抉择？

图 5HardBit2.0勒索信《How To Restore Your Files》

HardBit团队在勒索信中声称，保险公司会想尽办法破坏用户与勒索组织的谈判，并以勒索金额超出保险范围为由降低保险赔付金额或完全拒绝赔付。因此，HardBit团队建议已投保企业与他们分享保单信息，并保证勒索赎金不会高于保险条款约定的额度。

图 6HardBit2.0离间计

这支资深黑客团队理解保险公司的运作模式，熟知如何回避风险，深谙保险公司的勒索赔付策略，他们清醒地知道，保险公司是这场金钱游戏的核心。于是他们巧妙地施展一出离间计，将保险公司置于受害人的对立面，哄骗受害人与他们站在同一阵营，而自己将在受害人与保险公司的猜忌、倾轧之中坐收渔翁之利。

03

HardBit2.0的攻击流程

HardBit2.0在入侵主机后执行有效负载并收集主机信息，先进行VSS删除、备份目录删除、卷影删除、取消修复模式自启等操作防止受害者恢复数据文件，然后限制主机的安全状况，篡改注册表以禁用许多 Windows Defender 功能，如篡改保护、实时进程扫描、实时行为监控等，接着终止常见服务进程，将软件复制到启动文件夹实现持久化。 

图 7HardBit2.0调用命令行

图 8 HardBit2.0篡改注册表

最后遍历文件开始加密过程，修改数据文件图标及名称，并释放txt格式勒索信、hta格式勒索信以及设置为桌面壁纸的HARDBIT图像文件。

图 9HardBit2.0加密文件对比图

04

威努特主机防勒索实战

——HardBit2.0

威努特主机防勒索系统可以精准检测到HardBit2.0的恶意行为，及时地对终止进程、卷影删除等行为进行拦截。如下图，防勒索系统拦截了HardBit2.0对卷影还原点的删除行为，并成功阻断了net1.exe的stop命令。

图 10威努特主机防勒索系统拦截HardBit2.0进程终止、卷影删除行为

威努特主机防勒索系统创新性地采用动态诱捕+静态诱捕结合的方式对病毒的加密行为进行拦截。独有的动态诱捕技术可以在Hardbit2.0遍历文件时优先将诱饵文件返回，能够第一时间阻止勒索病毒的加密动作，同时中断HardBit2.0进程。

图 11威努特主机防勒索系统动态诱捕流程

图 12威努特主机防勒索系统成功诱捕HardBit2.0

威努特主机防勒索系统在捕获HardBit2.0进程后将其隔离，保证病毒无法再次运行。

图 13威努特防勒索系统成功隔离HardBit2.0

05

威努特主机防勒索

专防专治勒索病毒

威努特主机防勒索系统综合勒索行为检测、数据安全保护、系统资源保护、数据备份与恢复等完整的、闭环的安全能力，可对全球范围内各类已知、新型勒索病毒有效检测，自威努特主机防勒索系统发布以来，各类新型勒索病毒，无论是Darkside、tellyouthepass、Devos、Mallox、Phobos、Money Message、Hive、Medusa还是本次测试的HardBit2.0，均能有效防范。

威努特主机防勒索系统（防病毒）是专防专治勒索病毒的终端安全产品，产品深度结合操作系统内核驱动，以勒索行为监测、勒索病毒诱捕、系统资源保护、关键业务保护、核心数据保护、数据智能备份等多项创新技术，精准识别勒索软件、保护系统资源不被破坏、保护业务应用免遭中断、保护业务数据不被篡改、备份业务数据并恢复，实现事前预防、事中检测/阻断、事后恢复的勒索病毒综合防范。

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施安全为己任，致力成为建设网络强国的中坚力量!

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121

原文始发于微信公众号（威努特工控安全）：心理战与离间计？HardBit2.0新型勒索病毒防护实战