Hellokitty：当Cyber​​punk达到Cy-purr-trimer时

2月9日，在发现妥协方案后，CDPR宣布在Twitter上到了100万粉丝，这是对其系统的赎金软件攻击的受害者（并清楚地表明他们不会屈服于威胁行动者的需求，也不会谈判）。

《赛博朋克2077》是CD Projekt Red发行的最新游戏，曾被誉为“十年来最受期待的游戏”，于2020年12月发布，许多人称其为“不可玩的混乱”。

没有令人惊讶的是，有些人怀疑被激怒的游戏玩家们正在击球，以便在该国发布游戏。但是臭名昭着的ransomware猎人Fabian Woarar（@fwos基于“增大化现实”技术埃姆西oft的首席执行官表示不同意。

许多人认为这是一个心怀不满的玩家所为，这实在是太可笑了。从分享的勒索信来看，这是一个我们追踪到的名为"凯蒂猫"的勒索软件组织所为。这与心怀不满的玩家无关，只是普通的勒索软件。https://t.co/ryjoxwc5mz.

——Fabian Wosar (@fwosar)2月9日，2021年

虽然他说的是一个消息灵通的索赔在获取并分析勒索软件样本之前，我们还不能确定是什么攻击了CDPR。尽管如此，这个名字的核实还是足以让HelloKitty勒索软件家族登上头条。

Hellokitty赎金软件

HelloKitty勒索软件，也被称为Kitty勒索软件，首次出现是在2020年11月，几个月后的第一个变种egregor.在野外被发现

巴西电力公司CEMIG (Companhia Energética de Minas Gerais)于2020年12月底在Facebook上披露，它是网络攻击的受害者。随后的报道显示，HelloKitty是它背后的勒索软件，而且这种勒索软件菌株被用来偷窃公司的大量数据。不过，这次攻击没有造成任何损害，但导致该公司暂停了WhatsApp和短信渠道，以及在线应用程序服务。

这个勒索软件系列被称为互斥锁的互斥锁“hellokittyex”。

一些研究人员将Hellokitty称为Deathransom-A赎金软件系列，根据其早期变体，仅仅重命名目标文件并不会加密它们。然而，我们推测，Hellokitty是由Deathransom建造的。因此，Malwar必威平台APPebytes将此卷载器检测为ransom.deathransom。

HelloKitty勒索软件背后的威胁行动者不像其他一些威胁组织那么活跃，所以关于它的信息很少。以下是我们目前所知道的。

感染向量

根据发送Inellabs.当前智能表明，Hellokitty通过网络钓鱼电子邮件或通过初次恶意软件攻击来通过次要感染来到。

症状

受HelloKitty勒索软件影响的系统出现以下症状:

1.终止进程和Windows服务。一旦到达受影响的系统并执行，HelloKitty将终止可能干扰其操作的进程和Windows服务。这些过程通常与安全软件、备份软件、会计软件、电子邮件服务器和数据库服务器(举几个例子)相关联。总的来说,它可以定位和终止超过1,400个流程和服务。

它使用终止过程使用taskkill.exe和net.exe.，两个合法的微软Windows程序。

SentinElelabs还指出，如果有流程Hellokitty无法终止使用这些可执行文件，则它将进入Windows的重新启动Manager.执行终止。

2.加密文件。猫咪或。被淹没文件扩展名。在Windows系统上，Hellokitty Ransomware使用AES-128 + NTRU加密的组合。在Linux系统上，它使用组合AES-256 + ECDH。这些加密配方未知有任何缺点，在没有钥匙的情况下使解密不可能。

加密文件将有.kitty要么.crypted附加到文件名的文件扩展名。例如，一个加密的sample.mdb文件要么有sample.mdb.kitty要么sample.mdb.crypted文件的名字。

3.有针对性的赎金券。HelloKitty勒索信通常是一个纯文本文件，上面要么有HelloKitty的名字read_me_lkdtt.txt要么read_me_unlock.txt.它引用它的目标和/或环境。以下为该封勒索信的部分内容样本，内容如下:

你好CEMIG !

所有文件，超级基础架构和备份都已加密！

试图用我们的解密器以外的程序解密或修改文件可能会导致永久的数据丢失!

恢复文件的唯一办法就是跟我们合作。

为了证明我们的严肃性，我们可以解密1个非关键文件，以防止证明。我们有超过10吨的私人文件，数据库，个人数据...等数据，您有24小时联系我们，另一种方式我们在公共频道中发布此信息，此网站将不可用。

赎金券还包括一个.onion受害者可以使用Tor浏览器打开的URL。每个受害者的url是不同的。

4.删除影子复制。类似于其他众所周知的勒索瓶家庭Ph值鄂博和仙妮策， HelloKitty会删除受影响系统上加密文件的影子副本，以防止受害者恢复这些文件。

妥协指标(IOCs)

tor onion url：

• 6x7dp6h3w6q3ugjv4yv5gycj3femb24kysgry5b44hhgfwc5ml5qrdad.onion.
• x6gjpqs4jjvgpfvhghdz2dk7be34emyzluimticj5s5fexf4wa65ngad.onion.

SHA256哈希：

• 78AFE88DBFA9F7794037432DB3975FA057EAE3E4DC0F39BF19F2F04FA6E5C07C
• fa722d0667418d68c4935e1461010a8f730f02fa1f595ee68bd0768fd5d1f8bb
• C7D6719BBFB5BAAADDA498BF5EF49A3ADA1D795B9AE4709074B03976968741e.
• 9A7DAAFC56300BD94CEEF23AC56A0735B63C6B9A7A409FB5A9B63EFE1AA0B0
• 38 d9a71dc7b3c257e4bd0a536067ff91a500a49ece7036f9594b042dd0409339