俄语黑客论坛出售全新私人定制勒索病毒——BlackCat
近日,瑞星安全研究院捕获到了一个在某俄语黑客论坛上推广的新型勒索软件——BlackCat,该恶意软件开发者运用了勒索软件即服务(RaaS)模式,通过招募犯罪分子来实施勒索行为。BlackCat允许自定义文件扩展名、赎金说明、加密模式、隐藏文件夹/文件/扩展,以及自动终止服务和进程,因此受到犯罪分子的格外青睐。
瑞星安全专家介绍,BlackCat采用了Rust语言编写,通过命令行调用,可灵活配置绝大部分参数,同时采用RSA+AES/ChaCha20的方式加密磁盘文件,因此在未获得密钥的情况下暂时无法解密。由于BlackCat既有Windows版本,也有Linux版本,因此广大用户应提高警惕,可使用瑞星ESM防病毒终端安全防护系统查杀该病毒,保障系统安全。
图:瑞星ESM防病毒终端安全防护系统对相关病毒进行拦截查杀
勒索软件即服务(RaaS)是指,勒索软件开发者将勒索软件发布在暗网上出售,没有开发能力的犯罪分子可通过直接购买来实施勒索。RaaS的出现,让网络犯罪的门槛大幅下降,RaaS 用户甚至不需要有经验,就可以轻松使用极具破坏性的勒索软件来进行高度复杂的网络攻击。
根据勒索团队的说法,BlackCat是从头开始编写的,没有使用任何模板或之前泄露的其他勒索软件的源代码,支持5种加密模式,2种文件加密算法:
5种加密模式包括:
- Full - 全文加密。最安全,最慢。
- Fast - 加密前 N 兆字节。不推荐使用,这是最不安全的可能解决方案,但速度最快。
- DotPattern - 通过M步对N兆字节进行加密。如果配置不正确,Fast在速度和密码强度方面的工作可能更差。
- Auto- 根据文件的类型和大小,locker(在windows和* nix / esxi上)会选择最优的(速度/安全方面)策略来处理文件。
- SmartPattern - N兆字节的百分比步骤加密。默认情况下,它从文件头开始,每10%加密10兆字节。速度/密码强度比的最优模式。
两种加密算法包括:
在自动模式下,软件检测是否存在AES硬件支持(存在于所有现代处理器中)并使用它。如果不支持AES,则对ChaCha20进行加密。
图:BlackCat开发者公开的招募信息