解密：HomuWitch 勒索病毒

• 288
• 2024-12-26 16:25:20

HomuWitch 是一种勒索软件，于2023年7月首次出现。与大多数当前的勒索软件不同，HomuWitch 主要针对终端用户个人，而非机构和公司。其流行程度并不算特别高，索要的赎金金额也较低，这使得该勒索软件至今保持相对低调。

在我们对这一威胁进行调查时，发现了一个漏洞，这使我们能够为所有 HomuWitch 的受害者创建免费的解密工具。我们现在公开分享此工具，以帮助受到影响的个人免费解密其文件。

尽管 HomuWitch 的活动最近有所减少，我们仍将继续密切监控这一威胁。

跳转至如何使用 HomuWitch 勒索软件解密器。

HomuWitch 是用 C# NET 编写的勒索软件。其名称来源于二进制文件的版本信息。受害者通常是通过伪装成盗版软件的 SmokeLoader 后门感染，随后安装一个恶意的掉落器，执行 HomuWitch 勒索软件。感染案件主要集中在两个地区波兰和印度尼西亚。

负责 HomuWitch 勒索软件的掉落器概述

执行开始后，驱动器字母被枚举，大小小于 3500 MB 的驱动器以及当前用户的图片、下载和文档目录都被纳入加密过程。然后，只有特定扩展名且大小小于 55 MB 的文件会被选择用于加密。扩展名的列表包括：

pdf doc docx ppt pptx xls py rar zip 7z txt mp4 JPG PNG HEIC csv bbbbbbbbb

HomuWitch 使用 Deflate 算法进行压缩，并使用 AESCBC 算法进行加密，将 homuencrypted 扩展名附加到文件名。大多数勒索软件只进行文件加密；而 HomuWitch 还进行了文件压缩。这使得加密后的文件小于原始文件。

HomuWitch 文件加密流程

HomuWitch 在加密过程中存在一个漏洞，使受害者可以在不支付赎金的情况下恢复所有文件。新的或之前未知的样本可能使用了不同的加密方案，因此可能无法在进一步分析后解密。

它还使用命令和控制 (CnC) 基础设施进行操作，主要位于欧洲。在加密之前，HomuWitch 会将以下个人信息发送到其 CnC 服务器：

计算机名称 国家代码 键盘布局 设备 ID

HomuWitch CnC 通信

在加密后，赎金通知要么从 CnC 服务器获取，要么在某些样本中存储在样本资源中。赎金通常在 25 到 70 美元之间，要求使用 Monero 加密货币进行支付。以下是 HomuWitch 赎金通知的一例：

请按照以下步骤解密您的文件：

样本 (SHA256)

03e4f770157c11d86d462cc4e9ebeddee3130565221700841a7239e68409accf 0e42c452b5795a974061712928d5005169126ad1201bd2b9490f377827528e5d 16c3eea8ed3a44ee22dad8e8aec0c8c6b43c23741498f11337779e6621d1fe4e 33dd6dfd51b79dad25357f07a8fb4da47cec010e0f8e6d164c546a18ad2a762c 3546b2dd517a99249ef5fd8dfd2a8fd80cb89dfdc9e38602e1f3115634789316 4ea00f1ffe2bbbf5476c0eb677ac75cf1a765fe5c8ce899f47eb8b344da878ed 6252cda4786396ebd7e9baf8ff0454d6af038aed48a7e4ec33cd9249816db2f4 9343a0714a0e159b1d49b591f0835398076af8c8e2da56cbb8c9b7a15c9707c8 bd90468f50629728d717c53cd7806ba59d6ad9377163d0d3328d6db4db6a3826 cd4c3db443dbfd768c59575ede3b1e26002277c109d39ea020d1bc307374e309 fd32a8c5cd211b057fdf3e7cc27167296c71e3fb42daa488649cdf81f58f6848

命令和控制服务器

IP 地址 来源78142042 美国79137207233 德国1852166897 荷兰193164150225 俄罗斯

风险指标请查看 https//githubcom/avast/ioc/tree/master/HomuWitch

标签： 解密器， 解密工具， 勒索软件

分享：X Facebook