企业新(xīn)闻—关于我们—亚信安(ān)全—护航产(chǎn)业互联安(ān)全数字世界

当勒索软件具(jù)备了如下特征：持久化作(zuò)战能(néng)力、高隐蔽性、逃避检测能(néng)力、损害系统恢复能(néng)力，带来的后果可(kě)能(néng)是毁灭性的它就是BlackBit！

何為(wèi)BlackBit？

BlackBit勒索软件最早于2022年9月首次被发现。与其它勒索不同的是，其在成功入侵主机后，攻击者没有(yǒu)执行数据泄露、权限提升和横向移动等动作(zuò)，而是专注于释放和执行勒索软件。BlackBit勒索软件的源代码与Loki Locker相似，除了在被加密的文(wén)件图标、名(míng)称和图标的配色方案等方面有(yǒu)了一些改进之外，其还采用(yòng)了.NET Reactor保护程序的方式来阻碍安(ān)全研究人员的分(fēn)析。

该勒索在加密文(wén)件前做足充分(fēn)准备，首先其会将自身复制到多(duō)个文(wén)件夹目录下，并创建计划任務(wù)以保证持久运行；然后终止可(kě)能(néng)会影响加密文(wén)件的进程和服務(wù)，删除卷影副本和系统备份。通过禁用(yòng)防火墙以及Windows Defender安(ān)全防护功能(néng)逃避检测。

在加密过程中(zhōng)，其通过CPGenKey函数将生成的随机密钥经过RSA加密算法加密后再去对文(wén)件数据进行加密，同时还会更改加密文(wén)件的名(míng)称及其默认图标，设置新(xīn)的桌面背景图像，并创建名(míng)為(wèi)“info.hta”和“Restore-My-Files.txt”的勒索信息文(wén)件。加密文(wén)件的新(xīn)名(míng)称格式為(wèi)“ [攻击者邮件地址][唯一系统 ID][原始文(wén)件名(míng)].BlackBit ”。

BlackBit勒索软件攻击流程

BlackBit家族通常是利用(yòng)RDP暴力破解获取对目标机器的初始访问权限。RDP暴力破解（RDP brute force）是指攻击者使用(yòng)自动化工(gōng)具(jù)或脚本，尝试使用(yòng)各种可(kě)能(néng)的用(yòng)户名(míng)和密码组合登录遠(yuǎn)程桌面协议（Remote Desktop Protocol, RDP）服務(wù)的过程。攻击者通过尝试多(duō)个用(yòng)户名(míng)和密码组合，来获取未经授权的访问权限，然后进一步入侵受害者的系统或网络。

攻击者可(kě)以使用(yòng)多(duō)种方式进行RDP暴力破解攻击，例如使用(yòng)常见的用(yòng)户名(míng)和密码列表，或使用(yòng)字典攻击工(gōng)具(jù)自动生成密码组合。这种攻击方式对于那些使用(yòng)弱密码或默认凭据的系统来说尤其危险，因為(wèi)攻击者可(kě)以很(hěn)容易地通过RDP暴力破解来获取访问权限。一旦BlackBit勒索软件成功进入系统，它会加密主机上的文(wén)件，并勒索高额的赎金。

【BlackBit勒索攻击流程】

亚信安(ān)全产(chǎn)品解决方案

●亚信安(ān)全新(xīn)一代终端安(ān)全TrustOne

亚信安(ān)全新(xīn)一代终端安(ān)全TrustOne的检测响应（EDR）模块，通过高清的日志(zhì)记录作(zuò)為(wèi)基础，结合威胁情报，IOA规则关联分(fēn)析和平台侧的大数据智能(néng)算法和可(kě)见性设计，可(kě)以对暴力破解等多(duō)种攻击进行实时检测，并且自动化对暴力破解攻击IP进行网络封停。网络封停支持配置自动响应的时间段，即生效周期和生效时间，支持设置封停时長(cháng)。自动封停后的 IP 记录在封停列表，封停时長(cháng)过后自动解封。