解密:HomuWitch 勒索病毒 – Avast

黑洞梯子应用组织

HomuWitch 是一种勒索软件,于2023年7月首次出现。与大多数当前的勒索软件不同,HomuWitch主要针对终端用户——个人,而非机构和公司。其流行程度并不算特别高,索要的赎金金额也较低,这使得该勒索软件至今保持相对低调。

在我们对这一威胁进行调查时,发现了一个漏洞,这使我们能够为所有 HomuWitch的受害者创建免费的解密工具。我们现在公开分享此工具,以帮助受到影响的个人免费解密其文件。

尽管 HomuWitch 的活动最近有所减少,我们仍将继续密切监控这一威胁。

跳转至如何使用 HomuWitch 勒索软件解密器。

关于 HomuWitch

HomuWitch 是用 C# .NET 编写的勒索软件。其名称来源于二进制文件的版本信息。受害者通常是通过伪装成盗版软件的 SmokeLoader后门感染,随后安装一个恶意的掉落器,执行 HomuWitch 勒索软件。感染案件主要集中在两个地区——波兰和印度尼西亚。


负责 HomuWitch 勒索软件的掉落器概述

HomuWitch 行为

执行开始后,驱动器字母被枚举,大小小于 3,500 MB 的驱动器以及当前用户的图片、下载和文档目录都被纳入加密过程。然后,只有特定扩展名且大小小于 55MB 的文件会被选择用于加密。扩展名的列表包括:

.pdf, .doc, .docx, .ppt, .pptx, .xls, .py, .rar, .zip, .7z, .txt, .mp4, .JPG,
.PNG, .HEIC, .csv, .bbbbbbbbb

HomuWitch 使用 Deflate 算法进行压缩,并使用 AES-CBC 算法进行加密,将 .homuencrypted扩展名附加到文件名。大多数勒索软件只进行文件加密;而 HomuWitch 还进行了文件压缩。这使得加密后的文件小于原始文件。


HomuWitch 文件加密流程

HomuWitch在加密过程中存在一个漏洞,使受害者可以在不支付赎金的情况下恢复所有文件。新的或之前未知的样本可能使用了不同的加密方案,因此可能无法在进一步分析后解密。

它还使用命令和控制 (CnC) 基础设施进行操作,主要位于欧洲。在加密之前,HomuWitch 会将以下个人信息发送到其 CnC 服务器:

计算机名称, 国家代码, 键盘布局, 设备 ID


HomuWitch CnC 通信

在加密后,赎金通知要么从 CnC 服务器获取,要么(在某些样本中)存储在样本资源中。赎金通常在 25 到 70 美元之间,要求使用 Monero加密货币进行支付。以下是 HomuWitch 赎金通知的一例:

如何使用 Avast HomuWitch 勒索软件解密工具解密被勒索软件加密的文件

请按照以下步骤解密您的文件:

  1. 在下载免费的解密器。
  2. 运行可执行文件。它会以向导方式启动,指导您进行解密过程的配置。
  3. 在初始页面,您可以阅读许可信息(如果需要),然后只需点击“下一步”。

  1. 在下一页面,选择要搜索和解密的路径。默认情况下,它包含所有本地驱动器的列表:

  1. 在第三页,您需要提供一份原始文件和一份被 HomuWitch 勒索软件加密的文件。输入两个文件的名称。如果您之前运行解密器时创建了加密密码,可以选择“我知道解密文件的密码”选项:

  1. 下一页面是密码破解过程。准备好后点击“开始”进入该过程。密码破解过程会使用所有已知的 HomuWitch 密码来确定正确的密码。

  1. 一旦找到密码,您可以继续通过点击“下一步”解密您电脑上所有已加密的文件。

  1. 在最后一页,您可以选择备份您的加密文件。这些备份可能会帮助您在解密过程中出现问题时使用。此选项默认选中,我们推荐开启。在点击“解密”后,解密过程开始。让解密器工作,并等待它完成对您所有文件的解密。

风险指标 (IoCs)

样本 (SHA256)

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

命令和控制服务器

IP 地址| 来源
—|—
78.142.0.42| 美国
79.137.207.233| 德国
185.216.68.97| 荷兰
193.164.150.225| 俄罗斯

风险指标请查看 https://github.com/avast/ioc/tree/master/HomuWitch

标签: ,

分享:X Facebook

Leave a Reply

Your email address will not be published. Required fields are marked *