一种新的勒索软件正以谷歌更新的形式出现在网络上，有证据证明，其在利用Windows系统的功能进行勒索攻击。

趋势科技（ Trend Micro ）的研究人员称他们发现了最新的威胁，被称为 “HavanaCrypt”，这是一个赎金软件包，该恶意软件使用开源的.NET混淆器Obfuscar编写，并将自身伪装成谷歌软件更新，诱使用户点击。

当HavanaCrypt开始执行进程时，该勒索软件会通过使用系统中的ShowWindow函数隐藏其窗口，给它一个0的参数。该勒索软件还有多种反虚拟化技术，帮助它在虚拟机中执行时避免动态分析，一旦发现系统在虚拟机环境中运行，该软件将会自动终止进程。

趋势科技的研究人员在分析中写道：“该勒索软件的作者极有可能计划通过Tor浏览器进行通信，因为Tor的是它避免加密文件的目录之一。同时HavanaCrypt还加密了文本文件foo.txt，并且不会丢弃赎金条。这可能是一个表明HavanaCrypt仍处于开发阶段的迹象。”

HavanaCrypt正在为日益增长的勒索软件攻击提供支持。据收集和识别威胁的网络安全供应商智能保护网络称，趋势科技在第一季度检测并阻止了超过440万个通过电子邮件、URL和文件层出现的勒索软件威胁，季度环比增长了37%，这其中包括从2017年就已经存在的分发Magniber勒索软件的假Windows更新以及使用假微软Edge和谷歌浏览器更新来推送Magnitude漏洞的攻击。

趋势科技在针对HavanaCrypt的分析中指出，勒索软件的普遍性植根于它的进化性，它采用不断变化的战术和计划来欺骗不知情的受害者，并成功地渗透到环境中，今年有报告称，勒索软件会伪装成虚假的Windows 10、谷歌浏览器和微软Exchange更新分发，以欺骗潜在的受害者下载恶意文件。

过去几年勒索软件即服务（RaaS）模式的兴起，代码开发人员将勒索软件租赁给其他网络犯罪分子，用于他们的攻击活动以削减已支付的赎金，同时攻击者会采用双重勒索，不仅加密文件，还窃取文件，并以此为威胁称如果不支付赎金，将公开泄露数据并损害受害者的声誉。

Malwarebytes Lab分析师在今年早些时候的一篇关于大规模攻击概述的博客文章中写道：“及时更新应用软件可以说是您保持网络安全所能做的最有用的事情，像我们这样的供应商、专家和分析师永远不会让用户忘记这件事。”诚然及时更新是一个非常好的习惯，但近来的网络犯罪分子喜欢利用这一点，使用虚假的软件更新来欺骗用户。

消息来源：https://www.theregister.com/2022/07/11/havanacrypt-ransomware-google-update/