您现在所在的位置:主页 > 社区 >

俄语黑客论坛出售全新私人定制勒索病毒——BlackCat

发布日期:2022-01-03 22:03   来源:未知   阅读:

  近日,瑞星安全研究院捕获到了一个在某俄语黑客论坛上推广的新型勒索软件——BlackCat,该恶意软件开发者运用了勒索软件即服务(RaaS)模式,通过招募犯罪分子来实施勒索行为。BlackCat允许自定义文件扩展名、赎金说明、加密模式、隐藏文件夹/文件/扩展,以及自动终止服务和进程,因此受到犯罪分子的格外青睐。

  瑞星安全专家介绍,BlackCat采用了Rust语言编写,通过命令行调用澳门论坛免费资料的首页,可灵活配置绝大部分参数,同时采用RSA+AES/ChaCha20的方式加密磁盘文件,因此在未获得密钥的情况下暂时无法解密。由于BlackCat既有Windows版本,也有Linux版本,因此广大用户应提高警惕,可使用瑞星ESM防病毒终端安全防护系统查杀该病毒,保障系统安全。

  勒索软件即服务(RaaS)是指,勒索软件开发者将勒索软件发布在暗网上出售,没有开发能力的犯罪分子可通过直接购买来实施勒索。RaaS的出现,让网络犯罪的门槛大幅下降,RaaS 用户甚至不需要有经验,就可以轻松使用极具破坏性的勒索软件来进行高度复杂的网络攻击。

  根据勒索团队的说法,BlackCat是从头开始编写的,没有使用任何模板或之前泄露的其他勒索软件的源代码,支持5种加密模式,2种文件加密算法:

  Fast - 加密前 N 兆字节。不推荐使用,这是最不安全的可能解决方案,但速度最快。

  DotPattern - 通过M步对N兆字节进行加密。如果配置不正确,Fast在速度和密码强度方面的工作可能更差。

  SmartPattern - N兆字节的百分比步骤加密。默认情况下,它从文件头开始,每10%加密10兆字节。速度/密码强度比的最优模式。

  在自动模式下,软件检测是否存在AES硬件支持(存在于所有现代处理器中)并使用它。如果不支持AES,则对ChaCha20进行加密。

  瑞星安全专家介绍,BlackCat通过便捷灵活的加密方式,极大可能被广泛应用,而目前已有国外用户中招,因此国内用户应加强防范,规避此类风险。瑞星公司在此提供以下防御措施:

  设置访问锁定策略,通过配置账户锁定策略,调整账户锁定阀值与锁定持续时间等配置,可以有效抵御一定时间下高频的暴力破击。

  审视RDP的使用需求,如果业务不需要使用它,那么可以将所有RDP端口关闭,也可以仅在特定时间之间打开端口。

  重新分配RDP端口,可考虑将默认RDP端口更改为非标准的端口号, 可避免一部分恶意软件对特定RDP端口的直接攻击,仍需另外部署端口扫描攻击防范措施。

  对局域网共享文件夹设置指定用户的访问权限,防止不必要的权限遭到病毒滥用。

  通过防火墙规则限制如445、3389端口/关闭445、3389端口或是修改端口号,防止病毒通过扫描端口等方式查询区域资产信息。我随丹水北上家肴可慰衷肠