拉拢受害者对付保险公司，这款勒索软件套路满满

套路千千万，唯独这家很特殊，一个新型勒索软件组织的攻击策略竟是离间受害者与保险公司。

据Security Affairs 2月21日消息，于去年10月出现的名为HardBit的勒索软件组织试图通过这一策略，让受害者的保险公司承担勒索赎金。

在HardBit勒索软件看来，遭受勒索攻击后，受害者的保险公司大多会以各种理由推脱，拒绝足额赔付，如果受害者能够与HardBit分享保险范围的可用性和条款，便能合伙商量如何让保险公司足额赔付，赎金金额不会超过受害者的投保金额。这样让看似受损的只有保险公司。

可见，该策略的核心是防止保险公司协商降低赔付赎金，在表面上拉拢受害者的同时让自身的经济利益最大化。

但同样的，为了防止受害者恢复加密文件，该勒索软件使用服务控制管理器和Windows备份工具目录删除了卷影复制服务（VSS）以及任何影子副本。

研究人员注意到，该恶意软件会加密许多文件，在 Windows 重新启动时可能会导致错误。为了避免在后续启动时出现问题，恶意软件会编辑启动配置以启用“忽略任何故障”选项并禁用恢复选项。

为了防止 Windows Defender Antivirus 阻止勒索软件进程，它对 Windows 注册表进行了多项更改以禁用许多 Windows Defender 功能（即篡改保护、反间谍软件功能、实时行为监控、实时访问（文件）保护、和实时进程扫描）。勒索软件还会将软件副本复制到受害者的“启动”文件夹（如果不存在）来实现持久性，可执行文件名会模仿合法服务主机可执行文件 svchost.exe，以避免检测。

参考来源：