Alphv (BlackCat) 勒索软件：如何预防和恢复

Alphv 是用 Rust 编程语言编写的勒索软件，用于加密受害者的数据。它是勒索软件即服务（RaaS），这意味着每个网络犯罪团伙将使用不同的扩展文件并以不同的方式重命名加密数据。勒索信也是如此，其内容将取决于黑客团伙。该勒索软件由俄罗斯勒索软件团伙 BlackCat 传播。截至 2022 年 3 月，全球至少有 60 个组织和企业感染阿尔夫病毒勒索软件。保诚保险披露了 2024 年 2 月的一次网络攻击，该攻击损害了 36,000 人的数据，促使对未经授权的网络访问进行调查。虽然该公司聘请了一家网络安全公司并通知了执法部门，但尚未确认该事件是否涉及勒索软件。此次泄露事件是由 AlphV 勒索软件团伙造成的一系列泄露事件的一部分，其中包括一个著名的勒索软件团伙对变革医疗保健的攻击，有报道称支付了 2200 万美元的赎金。 最近，Alphv (BlackCat) 勒索软件团伙卷入了一起重大退出骗局。据报道黑客新闻据称，在收到付款后，ALPHV 运营商关闭了其关联公司的账户。他们在泄密网站上伪造了一份虚假的扣押通知，这是欺骗附属机构和当局的复杂企图。

尽管声称执法部门已采取行动，但美国司法部、欧洲刑警组织和英国国家犯罪局等机构否认参与。然而，美国司法部向全球 500 名 Alphv 受害者提供了免费解密器。该部门还提供奖励任何有关 ALPHV 的信息与 BlackCat 相关的网络攻击者针对的是美国关键基础设施。这一精心设计的计划引起了网络安全专家的注意，他们强调了在出口骗局中前所未有地使用虚假扣押通知的情况。该事件凸显了勒索软件运营商为逃避检测和最大化非法收益而采用的不断变化的策略。尽管骗局成功，但专家预计该组织在暂时中断后最终会以新的幌子或新品牌卷土重来。随着执法机构继续调查该事件，该案件清楚地提醒人们勒索软件的持续威胁以及打击数字领域网络犯罪活动的持续努力。

更多阅读：NoBit 勒索软件：如何删除和预防

Alphv，也称为 BlackCat，是一种勒索软件，它是一种恶意软件，它会加密并锁定受害者的文件，然后请求赎金以换取解密密钥。它还窃取受害者的数据，并威胁以一种称为双重勒索的策略泄露数据。Alphv 勒索软件是勒索软件即服务 (RaaS)，在全球拥有分支机构。除了威胁之外，BlackCat 勒索软件还可能导致 DDoS 攻击，这将通过多个请求使服务器过载来阻止用户访问服务器。

Alphv 概述

您可以通过计算机或网络上的一些症状和迹象来识别 Alphv。一旦您意识到自己是网络攻击的受害者，请立即联系当地当局。确认姓名

• ALPHV（黑猫）病毒

威胁类型

• 勒索软件
• 加密病毒
• 文件柜

加密文件扩展名

• 取决于型号

索要赎金的消息

• 取回-[文件扩展名]-FILES.txt

有免费的解密器吗？

• FBI 提供免费为 500 多名 ALPHV/BlackCat 受害者提供解密程序全球范围内并破坏了勒索软件 TOR 网站。

Windows 检测名称

• 阿瓦斯特Win32:RansomX-gen [赎金]
• 比特卫士基因：变种.Barys.331754
• 埃姆西软件基因：变体。
• 卡巴斯基勒索木马.Win32.BlackCat.bn
• 微软赎金：Win32/BlackCat.A
• 索福斯马尔/黑猫-A

Linux 检测名称

• 阿瓦斯特ELF:Filecoder-DP [Trj]
• 比特卫士通用.Ransom.ESXiArgs.D.E70D3AE7
• 索福斯Linux/Ransm-U

症状

• 无法打开计算机上存储的文件
• 新的文件扩展名
• 您桌面上的勒索赎金消息

勒索软件家族、类型和变种

• ALPHV 勒索软件家族
• RaaS型
• BlackCat 勒索软件、Alphv、AlphaVM、Noberus、Coreid、FIN7、Carbon Spider

分配方式

• 受感染的电子邮件附件（网络钓鱼电子邮件）
• Torrent 网站（受感染的链接或文件）
• 恶意广告（恶意广告）

结果

• 锁定的文件
• 密码被盗
• 数据泄露
• 分布式拒绝服务

预防

• 防病毒和反恶意软件
• 更新软件
• 更新的操作系统 (OS)
• 防火墙
• 不要打开来源不明的电子邮件附件
• 不要从可疑网站下载文件
• 除非您确定安全，否则请勿点击广告
• 仅访问来自可靠来源的网站

Alphv 是如何感染您的计算机的

BlackCat 勒索软件感染您的计算机和网络的主要方式是通过垃圾邮件和网络钓鱼电子邮件。单击一个链接或下载恶意附件将在计算机上安装勒索软件漏洞利用工具包。

垃圾邮件活动是网络钓鱼电子邮件攻击，黑客利用社交工程欺骗受害者点击恶意链接或附件。之后，漏洞利用工具包被下载到计算机中，威胁行为者可以随时触发勒索软件。当黑客打算访问特定业务时，这些电子邮件可能是有针对性的，或者当他们发送大量恶意软件垃圾邮件活动时，这些电子邮件可能是非针对性的网络钓鱼。之后，Alphv 将利用横向移动的方式通过网络服务器进行传播。所以，网络安全工具和协议例如，对员工进行良好实践教育，以提高安全意识，并实施软件来阻止恶意通信，这些都有助于防止 BlackCat 攻击。

Alphv 加密和勒索信息

Alphv 勒索信内容会根据攻击者群体的不同而有所不同。一般来说，它不仅指出数据被窃取和加密，而且还警告如果受害者不支付赎金，攻击者组织将在暗网上（在 Tor 网站上）发布数据。文本还指示使用提供的网站和个人 ID 与攻击者联系。受到 Alphv 勒索软件攻击后，您可以在桌面上看到一封作为文本文件的信件。这是其内容的示例：

BlackCat 勒索信示例（来源：Microsoft）

Alphv 勒索软件如何运作

BlackCat 勒索软件是用 Rust 编写的，适应性很强。他们针对多个行业，尽管他们的主要受害者是医疗保健企业，例如制药企业。他们将通过未修补的 Exchange 和受损的凭据进入您的网络。之后，勒索软件在加密和数据泄露过程中会遵循4个步骤：

• 发现
• 横向运动
• 收集和渗漏
• 加密和勒索

1. 发现

网络攻击者将探索系统的漏洞以获取对环境的访问权限。然后，Alphv 勒索软件操作者使用发现命令来了解他们所破坏的组织。您可以通过消除系统的漏洞来防止勒索软件。为此，您可以保持所有软件更新，并通过对您的团队进行网络威胁培训来提高网络安全意识。

2.横向运动

感染计算机和网络几天后，Alphv 开始使用防止防病毒软件检测的技术窃取凭据。它通过远程桌面协议 (RDP) 在网络中移动。攻击者将花费数天时间探索网络，访问连接到网络的每个设备，收集信息并确定他们可以访问哪些设备

3. 收集和渗漏

此时，攻击者将提取域设置和信息以及知识产权等数据。由于该组织威胁要泄露知识产权信息，因此这些数据将用于勒索。由于他们在几天内从许多设备和文件夹收集数据，因此他们收集了大量可用于双重勒索的数据。

4. 加密和勒索

最后一步是加密和勒索信。因此，Alphv 在企业网络上默默地工作了一整天，主要利用凭据泄露造成的漏洞。这是大流行期间开始的远程工作模式的结果。但是，您可以使用网络安全服务和工具来保护您的系统，而无需让员工返回办公室。

防止 Alphv 勒索软件攻击

通过确保您的网络安全，您可以避免 Alphv 攻击。由于 BlackCat 非常具有攻击性，因此只有采取网络安全解决方案才能避免它。然而，这些措施并非完美无缺，攻击者可以设法进入您的企业网络。这就是为什么更新备份如此重要：这将确保您的数据安全。

1. 使用更新的防病毒、反恶意软件和防火墙

通过使用更新的安全软件，您可以保证他们拥有必要的数据来阻止新形式的攻击，例如 Alphv 变体。确保还拥有防火墙来阻止任何未经授权的访问。向电子邮件和网络添加拦截器，以防止网络钓鱼并确保所有信息都传输到网络之外

2.应用多重身份验证

您可以使用双因素身份验证或生物识别解锁来确保只有授权人员才能访问文件夹、设备或帐户。

3.使用网络安全解决方案

网络安全解决方案包括安全软件，例如防病毒软件，还包括培训员工了解遵循网络安全最佳实践的重要性等措施。内部威胁与外部威胁一样重要。员工并不总是有破坏企业的意图。大多数时候，一个无意识的错误可能会导致勒索软件攻击。

4.安排定期备份

至少保留三份数据副本，其中至少一份离线和异地存储。这可以保证，即使您遭受自然或人为灾难（如勒索软件），您的数据始终安全。定期备份可以防止停机并确保您永远不会丢失任何敏感数据。

5. 制定恢复计划

尽管您采取了一切预防措施来保护您的业务数据，但灾难仍然可能发生。确保您有一个灾难恢复计划，以保持业务连续性并防止停机，即使发生 Alphv (BlackCat) 勒索软件攻击也是如此。通过我们的深入指南了解如何创建数据恢复计划。

如何从 Alphv 攻击中恢复

从 Alphv 攻击中恢复的第一步是通过断开与互联网的连接并删除所有连接的设备来隔离受感染的计算机。然后，您必须联系地方当局。就美国居民和企业而言，当地联邦调查局外地办事处和网络犯罪投诉中心（IC3）要报告勒索软件攻击，您必须收集有关勒索软件攻击的所有信息，包括：

• 勒索信截图
• 与 Alphv 演员的交流（如果有的话）
• 加密文件示例

您不得删除勒索软件，并保留所有攻击证据。这对于数字取证非常重要，因此专家可以追溯到黑客组织并识别他们。正在使用受感染系统上的数据，以便当局调查攻击并找到责任人。网络攻击调查与任何其他刑事调查没有什么不同：它需要证据来找到攻击者。隔离设备并联系当局后，您必须按照以下步骤取回数据：

1. 联系您的事件响应人员

网络事件响应是响应和管理网络安全事件的过程。事件响应保留者是与网络安全提供商签订的服务协议，允许组织获得有关网络安全事件的外部帮助。它通过安全合作伙伴为组织提供结构化形式的专业知识和支持，使他们能够在发生网络事件时快速有效地做出响应。事件响应保留人员让组织高枕无忧，在网络安全事件发生之前和之后提供专家支持。事件响应保留器的具体性质和结构将根据提供商和组织的要求而变化。良好的事件响应保留者应该强大而灵活，提供经过验证的服务来增强组织的长期安全态势。

2. 识别勒索软件感染

您可以通过文件扩展名检查哪些勒索软件感染了您的计算机（某些勒索软件使用文件扩展名作为其名称），或者它会出现在勒索字条上。有了这些信息，您就可以查找公共解密密钥。然而，Alphv还没有。

3. 删除勒索软件并消除漏洞利用工具包

在恢复数据之前，您必须保证您的设备没有勒索软件，并且攻击者无法通过漏洞利用套件或其他漏洞进行新的攻击。勒索软件删除服务可以删除勒索软件、创建用于调查的取证文档、消除漏洞并恢复数据。

4.使用备份恢复数据

备份是恢复数据最有效的方法。确保保留每日或每周备份，具体取决于您的数据使用情况。

5.联系勒索软件恢复服务

如果您没有备份或需要帮助删除勒索软件和消除漏洞，您应该联系数据恢复服务。不要支付赎金。除了资助犯罪活动的道德问题之外，支付赎金还会带来制裁等严重后果。联系主管当局（在美国是 FBI），然后与勒索软件数据恢复服务合作。SalvageData 专家可以安全地恢复您的文件并保证 Alphv 勒索软件不会再次攻击您的网络。 24/7 联系我们的专家获取紧急恢复服务或查找您附近的恢复中心。