瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 俄语黑客论坛出售全新私人定制勒索病毒——BlackCat
麦青儿 - 2021-12-31 17:44:00
近日,瑞星安全研究院捕获到了一个在某俄语黑客论坛上推广的新型勒索软件——BlackCat,该恶意软件开发者运用了勒索软件即服务(RaaS)模式,通过招募犯罪分子来实施勒索行为。BlackCat允许自定义文件扩展名、赎金说明、加密模式、隐藏文件夹/文件/扩展,以及自动终止服务和进程,因此受到犯罪分子的格外青睐。

瑞星安全专家介绍,BlackCat采用了Rust语言编写,通过命令行调用,可灵活配置绝大部分参数,同时采用RSA+AES/ChaCha20的方式加密磁盘文件,因此在未获得密钥的情况下暂时无法解密。由于BlackCat既有Windows版本,也有Linux版本,因此广大用户应提高警惕,可使用瑞星ESM防病毒终端安全防护系统查杀该病毒,保障系统安全。

图:瑞星ESM防病毒终端安全防护系统对相关病毒进行拦截查杀


勒索软件即服务(RaaS)是指,勒索软件开发者将勒索软件发布在暗网上出售,没有开发能力的犯罪分子可通过直接购买来实施勒索。RaaS的出现,让网络犯罪的门槛大幅下降,RaaS 用户甚至不需要有经验,就可以轻松使用极具破坏性的勒索软件来进行高度复杂的网络攻击。

根据勒索团队的说法,BlackCat是从头开始编写的,没有使用任何模板或之前泄露的其他勒索软件的源代码,支持5种加密模式,2种文件加密算法:

5种加密模式包括:


两种加密算法包括:



在自动模式下,软件检测是否存在AES硬件支持(存在于所有现代处理器中)并使用它。如果不支持AES,则对ChaCha20进行加密。


图:BlackCat开发者公开的招募信息

麦青儿 - 2021-12-31 17:44:00
瑞星安全专家介绍,BlackCat通过便捷灵活的加密方式,极大可能被广泛应用,而目前已有国外用户中招,因此国内用户应加强防范,规避此类风险。瑞星公司在此提供以下防御措施:

1.针对RDP弱口令攻击的防范建议:


2.针对系统安全性的防范建议:



3.针对局域网安全性的防范建议:




点击查看样本分析>>
天月来了 - 2022-1-2 8:51:00
可怜的微软远程桌面系统:kaka6:

可怜的445和3389端口:kaka11:
圣域メ剑神 - 2022-1-7 20:02:00
端口被攻击好像没法避免,只能是发现一个关闭一个,黑客和安全团队就是矛盾。
1
查看完整版本: 俄语黑客论坛出售全新私人定制勒索病毒——BlackCat