针对Windows、Linux和ESXi环境的HelloKitty勒索软件修复

网络安全专家检测到 HelloKitty 勒索软件的死灰复燃，新变种同时积极针对 Windows、Linux 和 ESXi 环境。

HelloKitty 于 2020 年 10 月首次被发现，它已经从最初的 DeathRansom 勒索软件分支演变而来，扩展了其定位能力并改进了其攻击技术。

改进后的勒索软件保留了其核心功能，即加密受害者文件并将“CRYPTED”、“CRYPT”或“KITTY”等扩展名附加到受感染的数据。

与许多突出显示其品牌的勒索软件家族不同，HelloKitty 自定义赎金记录以直接称呼受害者的名字，从而创建更加个性化的勒索方法。

该勒索软件使用 Visual C++ 编码，并经常使用 UPK 打包来压缩可执行文件并使逆向工程工作复杂化。

THE RAVEN FILE 研究人员发现，最新的 HelloKitty 变体显示出一种不寻常的地理分散模式，尽管之前有归因建议将该作与乌克兰联系起来，但许多样本最初是从中国 IP 地址上传的。

根据他们为期一年的综合研究项目分析 HelloKitty 样本，该恶意软件在保持其独特的加密方法的同时进行了重大的技术修改。

该勒索软件已证明多年来持续存在，并有证据表明三个不同的作批次：最初的 2020 年部署、与 FiveHands 勒索软件共享特征的 2020 年圣诞节批次，以及显示增强功能的最新 2024 年变体。

感染链

虽然早期的活动主要针对游戏公司、医疗保健服务和发电设施，但最近的活动似乎在各个行业撒下了更广泛的网。

尽管处于休眠期，但 HelloKitty 始终如一地以技术改进回归。

最近，安全分析师在 2025 年 2 月检测到潜在的新变体，这表明即使旧的命令和控制基础设施已经从暗网中消失，仍在进行开发工作。

复杂的加密机制

HelloKitty 的加密过程代表了其技术最先进的功能之一，根据目标环境采用不同的方法。

在 Windows 系统上，它实现了 AES-128 和 NTRU 加密的组合，而 Linux 环境则面临 AES-256 与 ECDH 加密配对。

赎金记录

当 HelloKitty 嵌入具有双重目的的 RSA-2048 公钥时，加密过程开始：它成为赎金记录中的受害者标识符（在 SHA256 哈希之后），并用作每个文件对称密钥的加密密钥。

HelloKitty 生成一个从 CPU 时间戳派生的 32 字节种子值，然后生成一个 Salsa20 密钥来加密第二个 32 字节种子。

这些值经过 XOR 运算，以创建驱动 AES 文件加密的最终 32 字节密钥。

// Simplified representation of HelloKitty's key generation processseed1 = GenerateFromCPUTimestamp(32);  // 32-byte timestamp-based seedseed2 = GenerateRandomBytes(32);       // Second 32-byte seedsalsa20_key = DeriveSalsa20Key(seed1);encrypted_seed2 = Salsa20Encrypt(seed2, salsa20_key);final_key = XOR(seed1, encrypted_seed2);  // Final AES encryption key

加密每个文件后，HelloKitty 会附加元数据，包括原始文件大小、魔术值“DE C0 AD BA”和 AES 密钥（使用 RSA 公钥加密）。

该过程通过在加密文件的末尾添加四个魔术字节“DA DC CC AB”来结束，作为勒索软件处理的文件的签名。

原文来自: cybersecuritynews.com