网络安全专家检测到 HelloKitty 勒索软件出现了令人担忧的卷土重来之势，其新变种正同时积极瞄准 Windows、Linux 和 ESXi 环境。

HelloKitty 勒索软件最早于 2020 年 10 月被发现，它起源于 DeathRansom 勒索软件的一个分支，此后不断发展，扩大了其攻击目标范围，并完善了攻击技术。

自 2024 年 9 月以来，安全研究人员已识别出至少 11 个正在传播的 HelloKitty 新样本，这表明其活动出现了显著复苏。

经过改良的 HelloKitty 勒索软件保留了其核心功能，即加密受害者的文件，并在被加密的数据文件名后添加如 “CRYPTED”“CRYPT” 或 “KITTY” 等扩展名。

与许多会大肆展示自身品牌标识的勒索软件家族不同，HelloKitty 会定制勒索赎金通知，直接称呼受害者的名字，采用了一种更具个性化的敲诈方式。

该勒索软件使用 Visual C++ 编码，并经常利用 UPK 压缩工具来压缩可执行文件，增加了逆向工程的难度。

THE RAVEN FILE 的研究人员发现，最新的 HelloKitty 变种呈现出一种不寻常的地理传播模式。

根据他们为期一年的对 HelloKitty 样本的全面研究项目，该恶意软件在保留其独特加密方式的同时，进行了重大的技术改进。

这款勒索软件已持续多年活跃，有证据表明存在三个不同的活动批次：最初在 2020 年部署的版本，2020 年圣诞节期间的一批与 FiveHands 勒索软件有共同特征的版本，以及最新的、能力有所增强的 2024 年变种。

早期的攻击活动主要针对游戏公司、医疗保健服务机构和发电设施，而最新的攻击活动似乎将目标范围扩大到了更多行业。

尽管 HelloKitty 勒索软件曾有过一段时间处于休眠状态，但每次卷土重来时都会在技术上有所改进。

最近，安全分析师在 2025 年 2 月检测到了可能存在的新变种，这表明即便旧的命令与控制基础设施已从暗网消失，该勒索软件的开发仍在持续进行。

复杂的加密机制

HelloKitty 的加密过程是其技术上最为先进的特征之一，它会根据目标环境采用不同的加密方法。

在 Windows 系统上，它结合使用 AES-128 和 NTRU 加密算法；而在 Linux 环境中，则采用 AES-256 加密算法搭配 ECDH 加密技术。

HelloKitty 的加密过程始于嵌入一个 RSA-2048 公钥，该公钥有双重用途：它会在经过 SHA256 哈希处理后成为受害者的标识符，出现在勒索赎金通知中，同时还用作每个文件对称密钥的加密密钥。

HelloKitty 会从 CPU 时间戳生成一个 32 字节的种子值，然后生成一个 Salsa20 密钥来加密第二个 32 字节的种子值。

这些值经过异或（XOR）运算，生成最终的 32 字节密钥，用于驱动 AES 文件加密。

// HelloKitty  密钥生成过程的简化表示

seed1 = GenerateFromCPUTimestamp(32);  // 基于32字节时间戳的种子值

seed2 = GenerateRandomBytes(32);       // 第二个32字节的种子值

salsa20_key = DeriveSalsa20Key(seed1);

encrypted_seed2 = Salsa20Encrypt(seed2, salsa20_key);

final_key = XOR(seed1, encrypted_seed2);  // 最终的AES加密密钥

在加密每个文件后，HelloKitty 会附加元数据，包括原始文件大小、“DE C0 AD BA” 的魔数，以及 AES 密钥（用 RSA 公钥加密）。

加密过程的最后一步是在加密文件的末尾添加四个字节 “DA DC CC AB”，作为该勒索软件处理过的文件的签名。