瑞星卡卡安全论坛

近日，瑞星安全研究院捕获到了一个在某俄语黑客论坛上推广的新型勒索软件——BlackCat，该恶意软件开发者运用了勒索软件即服务（RaaS）模式，通过招募犯罪分子来实施勒索行为。BlackCat允许自定义文件扩展名、赎金说明、加密模式、隐藏文件夹/文件/扩展，以及自动终止服务和进程，因此受到犯罪分子的格外青睐。

瑞星安全专家介绍，BlackCat采用了Rust语言编写，通过命令行调用，可灵活配置绝大部分参数，同时采用RSA+AES/ChaCha20的方式加密磁盘文件，因此在未获得密钥的情况下暂时无法解密。由于BlackCat既有Windows版本，也有Linux版本，因此广大用户应提高警惕，可使用瑞星ESM防病毒终端安全防护系统查杀该病毒，保障系统安全。

图：瑞星ESM防病毒终端安全防护系统对相关病毒进行拦截查杀

勒索软件即服务（RaaS）是指，勒索软件开发者将勒索软件发布在暗网上出售，没有开发能力的犯罪分子可通过直接购买来实施勒索。RaaS的出现，让网络犯罪的门槛大幅下降，RaaS 用户甚至不需要有经验，就可以轻松使用极具破坏性的勒索软件来进行高度复杂的网络攻击。

根据勒索团队的说法，BlackCat是从头开始编写的，没有使用任何模板或之前泄露的其他勒索软件的源代码，支持5种加密模式，2种文件加密算法：

5种加密模式包括：

• Full - 全文加密。最安全，最慢。
• Fast - 加密前 N 兆字节。不推荐使用，这是最不安全的可能解决方案，但速度最快。
• DotPattern - 通过M步对N兆字节进行加密。如果配置不正确，Fast在速度和密码强度方面的工作可能更差。
• Auto- 根据文件的类型和大小，locker(在windows和* nix / esxi上)会选择最优的(速度/安全方面)策略来处理文件。
• SmartPattern - N兆字节的百分比步骤加密。默认情况下，它从文件头开始，每10%加密10兆字节。速度/密码强度比的最优模式。

两种加密算法包括：

• ChaCha20
• AES

在自动模式下，软件检测是否存在AES硬件支持(存在于所有现代处理器中)并使用它。如果不支持AES，则对ChaCha20进行加密。

图：BlackCat开发者公开的招募信息

瑞星安全专家介绍，BlackCat通过便捷灵活的加密方式，极大可能被广泛应用，而目前已有国外用户中招，因此国内用户应加强防范，规避此类风险。瑞星公司在此提供以下防御措施：

1.针对RDP弱口令攻击的防范建议：

• 限制可使用RDP的用户，仅将远程访问授权给那些必须用它来执行工作的人。
• 建立双重验证，如Windows平台下的Duo Security MFA或Linux平台下google-authenticator等认证程序。
• 设置访问锁定策略，通过配置账户锁定策略，调整账户锁定阀值与锁定持续时间等配置，可以有效抵御一定时间下高频的暴力破击。
• 审视RDP的使用需求，如果业务不需要使用它，那么可以将所有RDP端口关闭，也可以仅在特定时间之间打开端口。
• 重新分配RDP端口，可考虑将默认RDP端口更改为非标准的端口号, 可避免一部分恶意软件对特定RDP端口的直接攻击，仍需另外部署端口扫描攻击防范措施。
• 定期检查、修补已知的RDP相关漏洞。
• 创建防火墙规则限制远程桌面的访问, 以仅允许特定的IP地址。
• RDP的登陆，应使用高强度的复杂密码以降低弱口令爆破的机会。

2.针对系统安全性的防范建议：

• 及时更新软件及系统补丁。
• 定期备份重要数据。
• 开启并保持杀毒软件及勒索防护软件功能的正常。
• 定期修改管理员密码并使用复杂度较高的密码。
• 开启显示文件扩展名，防范病毒程序伪装应用程序图标。

3.针对局域网安全性的防范建议：

• 非必要时可关闭局域网共享文件或磁盘，防止病毒横向传播。
• 对局域网共享文件夹设置指定用户的访问权限，防止不必要的权限遭到病毒滥用。
• 通过防火墙规则限制如445、3389端口/关闭445、3389端口或是修改端口号，防止病毒通过扫描端口等方式查询区域资产信息。

点击查看样本分析>>

可怜的微软远程桌面系统:kaka6:

可怜的445和3389端口:kaka11:

端口被攻击好像没法避免，只能是发现一个关闭一个，黑客和安全团队就是矛盾。