近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现一种跨平台的勒索病毒BlackLock,其通过“加密数据+威胁泄露”的双重勒索模式,对政府、教育、制造等多行业用户开展攻击,可能导致数据泄露、业务中断等风险。
BlackLock是一种采用Go语言开发的勒索病毒,最早出现于2024年3月,最初以“El Dorado”为名活动,后更名为BlackLock。该勒索病毒可攻击Windows、Linux及VMware ESXi环境,覆盖企业服务器、虚拟化平台及网络共享设备。BlackLock一般通过钓鱼攻击、漏洞利用等方式渗透目标系统,利用WMI(Windows管理规范)远程执行命令删除卷影副本以阻断系统恢复,同时通过PowerShell脚本禁用Windows Defender等安全防护,并将该病毒扩散至内网其他设备。在数据窃取与加密时,BlackLock先通过内置工具扫描并窃取敏感文件,再使用XChaCha20流密码对文件进行加密,为每个文件生成唯一FileKey(文件密钥)和Nonce(随机数),并通过ECDH椭圆曲线加密算法保护解密密钥。此外,BlackLock支持命令行参数(如-path指定加密路径、-perc控制加密比例、-sort优先加密重要文件夹)实现灵活攻击,最终在受感染目录生成HOW_RETURN_YOUR_DATA.TXT文件,要求支付赎金以换取解密密钥。
建议相关单位和用户立即组织排查,及时更新防病毒软件,实施全盘病毒查杀,禁用不必要的端口,开展员工网络安全意识培训,并可通过及时修复安全漏洞、定期备份数据等措施,防范网络攻击风险。
声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
