勒索软件伪装成谷歌更新，诱骗用户点击

Trend Micro 的研究人员发现一种名为“HavanaCrypt”的恶意软件，该恶意软件使用开源的.NET混淆器Obfuscar编写，并伪装成谷歌软件更新，欺骗用户点击下载恶意文件。

HavanaCrypt开始执行进程时，通过使用系统中的ShowWindow函数隐藏其窗口，给它一个0的参数。并且，HavanaCrypt有多种反虚拟化技术，帮助它在虚拟机中执行时避免动态分析，一旦发现系统在虚拟机环境中运行，该软件将会自动终止进程。

Trend Micro 的研究人员认为，该勒索软件的作者可能计划通过Tor浏览器进行通信，因为Tor的是它避免加密文件的目录之一。同时HavanaCrypt还加密了文本文件foo.txt，并且不会丢弃赎金条。这表明HavanaCrypt可能仍处于开发阶段的迹象。

勒索软件攻击有HavanaCrypt提供支持，攻击事件将会增多。据悉， Trend Micro在第一季度检测并阻止了超过440万个通过电子邮件、URL和文件层出现的勒索软件威胁。其中，季度环比增长了37%，包括从2017年就已经存在的分发Magniber勒索软件的假Windows更新，以及使用假微软Edge和谷歌浏览器更新来推送Magnitude漏洞的攻击。

勒索软件采用不断变化的战术欺骗不知情的受害者，并成功地渗透到环境种去，这样导致了勒索软件的普遍性。就如2022年有报告称，勒索软件会伪装称虚假的谷歌浏览器、Windows 10和微软Exchange更新分发，以这样的方式欺骗受害者下载文件。

过去几年勒索软件即服务(RaaS) 模式的兴起，代码开发人员将勒索软件出租给其他网络犯罪分子，用于他们的攻击活动以削减已支付的赎金，同时攻击者会采取双重勒索。既窃取文件，也加密文件，并通过威胁受害者，如果拒绝支付赎金，就公开泄露数据。

及时更新软件应用可以确保自身网络安全，很多供应商、专家和分析师都不会让用户忘记这件事。这是一个很好的习惯，但是近年来，网络犯罪分子利用这一点，伪装称软件更新来欺骗用户。

我们如何防止勒索软件攻击？

1、培养自身安全意识，了解勒索软件的传播方式：比如社会工程学、社交媒体、不可信网站、垃圾邮件、钓鱼邮件和不可信下载源等。

2、保证电子邮件安全，为电子邮件部署防护产品，对所有的电子邮件进行病毒扫描。

3、不要随意点击陌生的网址链接，不要打开来源不可靠的网站。

4、不要安装盗版或来源不明的软件。

勒索软件是黑客用来劫持用户资产资源实施勒索的一种恶意程序，随着网络信息时代的发展，勒索软件攻击日益频繁。我国出台了《数据安全法》、《个人信息保护法》和《网络安全法》，抵御勒索软件等网络犯罪威胁，监管保护数据安全。在工作生活中，我们个人也要加强网络安全意识，防范勒索软件攻击。