最近趨勢科技發現一個新的勒索病毒 Ransomware家族 (趨勢科技命名為「HavanaCrypt」)，它會假扮成一個 Google Software Update 應用程式，並使用 Microsoft 網站代管服務的 IP 位址作為其幕後操縱 (C&C) 伺服器來躲避偵測。

勒索病毒雖然不是什麼新的發明，但至今仍是全世界最嚴重的網路資安威脅之一。事實上，根據趨勢科技 Smart Protection Network™ 全球威脅情報網的資料，2022 年第 1 季，我們在電子郵件、網址與檔案三個防護層上總共偵測並攔截了 超過 440 萬次勒索病毒威脅，較 2021 年第 4 季整體勒索病毒威脅數量成長 37%。

勒索病毒之所以會如此猖獗，主要原因就在於它會不斷演變。它會隨時變換手法與伎倆來誘騙不知情受害者以入侵企業環境。例如今年，我們看到一些勒索病毒假扮成Windows 10、Google Chrome 及 Microsoft Exchange 更新來誘騙不知情受害者下載惡意檔案。

最近我們發現一個新的勒索病毒家族同樣也是使用類似伎倆，它會假扮成一個 Google Software Update 應用程式，並使用 Microsoft 網站代管服務的 IP 位址作為其幕後操縱 (C&C) 伺服器來躲避偵測。根據我們的研究顯示，這個勒索病毒會在其加密過程中使用 .NET System.Threading 命名空間中用來將工作排入執行佇列的 QueueUserWorkItem  函式，以及開放原始碼密碼管理軟體 KeePass Password Safe 的模組。

本文將從技術面深入分析這個我們命名為「HavanaCrypt」的最新勒索病毒家族與其感染技巧。