自2024年11月以来,BlackNevas勒索软件团伙已成为一个重大威胁,持续对亚洲、北美和欧洲的企业及关键基础设施组织发动破坏性攻击。
这种复杂的恶意软件攻击结合了文件加密和数据窃取策略,威胁称如果在七天内不满足赎金要求,就会泄露窃取的信息。
这款勒索软件展现出一种极具攻击性的目标定位策略,其约50%的攻击集中在亚太地区。
ASEC的研究人员发现,BlackNevas是独立运作的,并不遵循传统的勒索软件即服务模式。
威胁行为者拥有自己的数据泄露网站,并声称与附属团体建立了合作关系,以此向受害者施压,迫使他们就范。
这款恶意软件会在受感染的文件后添加独特的“.-encrypted”扩展名,使受害者能立即察觉到文件已被加密。
与许多包含反调试或沙箱规避技术的勒索软件变体不同,BlackNevas采用了一种不同的方法,它支持多个可修改其行为的命令行参数。
这种恶意软件包含一些参数,例如“/fast”用于仅加密1%的文件内容,“/full”用于完全加密文件,以及“/stealth”用于在加密过程中更改扩展名并创建勒索通知。
高级加密实施与文件目标定位策略
这款勒索软件采用了复杂的双重加密方法,将AES对称密钥与RSA公钥加密技术相结合。
在加密过程中,BlackNevas 会为每个文件生成一个独特的 AES 密钥,对内容进行加密,然后使用嵌入的 RSA 公钥对 AES 密钥进行保护,再将其附加到加密文件的末尾。
这种恶意软件通过排除关键系统文件来实现选择性攻击,以维持系统稳定性。
受保护的扩展名包括sys、dll、exe、log、bmp、vmem、vswp、vmxf、vmsd、scoreboard、nvram和vmss文件,以及特定文件,如“NTUSER.DAT”及其自身的勒索通知“how_to_decrypt.txt”。
有趣的是,BlackNevas在加密过程中会生成两种不同的文件名模式:标准文件会被赋予带有“-encrypted”扩展名的随机名称,而包括doc、docx、hwp、jpg、pdf、png、rtf和txt在内的特定文档类型则会以“trial-recovery”为前缀,以此展示其解密能力。
加密验证过程包括检查文件末尾的8字节值,以确定加密状态和文件类型分类。
这种方法消除了本地解密的可能性,因为RSA私钥完全由攻击者掌握,这使得在不支付赎金或不具备先进的加密能力的情况下,文件恢复变得不可能。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
