网络安全专家检测到 HelloKitty 勒索软件出现了令人担忧的卷土重来之势,其新变种正同时积极瞄准 Windows、Linux 和 ESXi 环境。
HelloKitty 勒索软件最早于 2020 年 10 月被发现,它起源于 DeathRansom 勒索软件的一个分支,此后不断发展,扩大了其攻击目标范围,并完善了攻击技术。
自 2024 年 9 月以来,安全研究人员已识别出至少 11 个正在传播的 HelloKitty 新样本,这表明其活动出现了显著复苏。
经过改良的 HelloKitty 勒索软件保留了其核心功能,即加密受害者的文件,并在被加密的数据文件名后添加如 “CRYPTED”“CRYPT” 或 “KITTY” 等扩展名。
与许多会大肆展示自身品牌标识的勒索软件家族不同,HelloKitty 会定制勒索赎金通知,直接称呼受害者的名字,采用了一种更具个性化的敲诈方式。
该勒索软件使用 Visual C++ 编码,并经常利用 UPK 压缩工具来压缩可执行文件,增加了逆向工程的难度。
THE RAVEN FILE 的研究人员发现,最新的 HelloKitty 变种呈现出一种不寻常的地理传播模式。
根据他们为期一年的对 HelloKitty 样本的全面研究项目,该恶意软件在保留其独特加密方式的同时,进行了重大的技术改进。
这款勒索软件已持续多年活跃,有证据表明存在三个不同的活动批次:最初在 2020 年部署的版本,2020 年圣诞节期间的一批与 FiveHands 勒索软件有共同特征的版本,以及最新的、能力有所增强的 2024 年变种。
早期的攻击活动主要针对游戏公司、医疗保健服务机构和发电设施,而最新的攻击活动似乎将目标范围扩大到了更多行业。
尽管 HelloKitty 勒索软件曾有过一段时间处于休眠状态,但每次卷土重来时都会在技术上有所改进。
最近,安全分析师在 2025 年 2 月检测到了可能存在的新变种,这表明即便旧的命令与控制基础设施已从暗网消失,该勒索软件的开发仍在持续进行。
复杂的加密机制
HelloKitty 的加密过程是其技术上最为先进的特征之一,它会根据目标环境采用不同的加密方法。
在 Windows 系统上,它结合使用 AES-128 和 NTRU 加密算法;而在 Linux 环境中,则采用 AES-256 加密算法搭配 ECDH 加密技术。
HelloKitty 的加密过程始于嵌入一个 RSA-2048 公钥,该公钥有双重用途:它会在经过 SHA256 哈希处理后成为受害者的标识符,出现在勒索赎金通知中,同时还用作每个文件对称密钥的加密密钥。
HelloKitty 会从 CPU 时间戳生成一个 32 字节的种子值,然后生成一个 Salsa20 密钥来加密第二个 32 字节的种子值。
这些值经过异或(XOR)运算,生成最终的 32 字节密钥,用于驱动 AES 文件加密。
// HelloKitty 密钥生成过程的简化表示
seed1 = GenerateFromCPUTimestamp(32); // 基于32字节时间戳的种子值
seed2 = GenerateRandomBytes(32); // 第二个32字节的种子值
salsa20_key = DeriveSalsa20Key(seed1);
encrypted_seed2 = Salsa20Encrypt(seed2, salsa20_key);
final_key = XOR(seed1, encrypted_seed2); // 最终的AES加密密钥
在加密每个文件后,HelloKitty 会附加元数据,包括原始文件大小、“DE C0 AD BA” 的魔数,以及 AES 密钥(用 RSA 公钥加密)。
加密过程的最后一步是在加密文件的末尾添加四个字节 “DA DC CC AB”,作为该勒索软件处理过的文件的签名。
发表评论
您还未登录,请先登录。
登录