BlackSuit 勒索软件：完整指南

Jacki

2025-04-30

BlackSuit 勒索软件是一种已知针对 Windows 和 Linux 用户的恶意软件，并通过加密来阻止受害者访问其文件。您通常可以识别此勒索软件，因为 BlackSuit 会在文件名中附加“.blacksuit”扩展名并更改桌面壁纸，创建名为“README.BlackSuit.txt”的勒索字条，并重命名文件。BlackSuit 勒索字条会提出多项声明，最值得注意的是基本文件已加密并存储在安全服务器上，因此任何财务报告、知识产权、个人文件和其他敏感数据都已被泄露。 BlackSuit 还拥有一个数据泄露网站，作为其双重勒索策略的一部分，以强迫受害者支付赎金。

BlackSuit 是一种勒索软件，是一种对受害者系统上的文件进行加密并要求付款以换取解密密钥的恶意软件。一旦勒索软件感染系统，它就会使用 FindFirstFileW() 和 FindNextFileW() API 函数枚举文件和目录并启动加密过程。 BlackSuit 勒索软件使用高级加密标准 (AES) 算法来加密文件。 AES算法是一种广泛用于加密数据的对称加密算法。 BlackSuit 勒索软件使用 OpenSSL 的 AES 进行加密，并利用类似的间歇性加密技术来快速高效地加密受害者文件。BlackSuit 勒索软件针对 Windows 和 Linux 操作系统用户。勒索软件会在其遍历的每个目录中放置名为“README.BlackSuit.txt”的勒索字条。加密文件后，它会通过附加“.BlackSuit”扩展名来重命名它们

我们所知道的有关 BlackSuit 勒索软件的一切

确认姓名

黑服病毒

威胁类型

勒索软件
加密病毒
文件柜
双重勒索

加密文件扩展名

.blacksuit

索要赎金的消息

自述文件.BlackSuit.txt

检测名称

阿瓦斯特Win32:恶意软件生成
卡巴斯基HEUR:Trojan-Ransom.Win32.Generic
索福斯Mal/通用-S (PUA)
微软赎金：Win32/BlackSuit.B

分配方式

受感染的电子邮件附件（宏）
洪流网站
恶意广告
木马

结果

文件被加密并锁定，直到支付赎金为止
数据泄露
双重勒索

Windows 变体

BlackSuit 和 Royal 勒索软件家族的 32 位 Windows 变体在功能上有 93.2% 的相似度，在基本块上有 99.3% 的相似度，在基于 BinDiff 的跳转上有 98.4% 的相似度。
BlackSuit 和 Royal 使用 OpenSSL 的 AES 进行加密，并利用类似的间歇性加密技术。

Linux 变体

BlackSuit 勒索软件的 Linux 变体是使用 GCC 编译的 64 位 ELF 可执行文件，sha256 为 1c849adcccad4643303297fb66bfe81c5536be39a87601d67664af1d14e02b9e。
根据 BinDiff 比较工具，Royal 和 BlackSuit 的 Linux 变体在功能上有 98% 的相似度，在块上有 99.5% 的相似度，在跳转上有 98.9% 的相似度。

有免费的解密器吗？

不。目前还没有已知的 BlackSuit 勒索软件公共解密器可用。

BlackSuit 勒索软件的 IOC 是什么？

妥协指标 (IOC) 是在网络或操作系统中观察到的伪影，可高度可信地指示计算机入侵。 IOC 可用于使用入侵检测系统和防病毒软件来及早检测未来的攻击尝试。在出现勒索通知之前，BlackSuit 勒索软件感染可能不会显示任何明显的症状。但是，以下一些症状可能表明 BlackSuit 勒索软件感染：

文件无法打开或访问，并且其名称已更改为包含“.blacksuit”扩展名。
桌面壁纸已更改。
每个目录中都存在名为“README.BlackSuit.txt”的勒索字条。
勒索信声称重要文件已被加密并存储在安全服务器上，财务报告、知识产权、个人文件和其他敏感数据已被泄露。
受害者可能会收到一条消息，要求付款以换取解密密钥。

如果出现任何这些症状，建议立即采取措施，以防止进一步的损坏和数据丢失。联系 SalvageData 勒索软件清除专家可为您提供安全的数据恢复服务以及攻击后的勒索软件清除服务。

推荐阅读：古巴勒索软件：完整指南

BlackSuit 勒索信中包含什么内容

BlackSuit 勒索软件生成的勒索字条名为“README.BlackSuit.txt”，并被放置在它遍历的每个目录中。该注释包含来自攻击者的消息，声称重要文件已被加密并存储在安全服务器上。该说明还提到财务报告、知识产权、个人文件和其他敏感数据已被泄露。攻击者要求支付赎金以换取解密密钥。总体而言，BlackSuit 勒索信的语气旨在让受害者产生一种紧迫感和恐惧感，迫使他们遵守攻击者的要求。BlackSuit 勒索信示例：

BlackSuit 勒索软件如何传播

BlackSuit 勒索软件感染系统的常见方式：

受感染的电子邮件附件（宏）

网络犯罪分子可能通过包含受感染链接或宏的电子邮件附件分发 BlackSuit 勒索软件。
打开这些附件或启用宏的用户可能会无意中触发勒索软件在其系统上的执行。

洪流网站

BlackSuit 勒索软件可以嵌入到 torrent 文件中，这些文件通常用于通过点对点网络下载和共享文件。
当用户下载并打开这些受感染的 torrent 文件时，他们的系统可能会感染勒索软件。

恶意广告

恶意广告（也称为恶意广告）可用作分发 BlackSuit 勒索软件的方法。
点击这些广告的用户可能会被重定向到自动下载勒索软件并在其系统上安装的网站。

木马

BlackSuit 勒索软件可以通过木马传播，木马是可以下载和安装其他类型恶意软件（包括勒索软件）的恶意程序。
特洛伊木马可以通过各种方式传播，例如网络钓鱼电子邮件、虚假软件更新或受感染的网站

BlackSuit 勒索软件如何运作？

BlackSuit 勒索软件是一种作为勒索软件威胁运行的恶意软件，通过加密来阻止受害者访问其文件。需要注意的是，BlackSuit 勒索软件的具体行为和功能可能会因版本或变体的不同而有所不同。以下是 BlackSuit 勒索软件通常如何工作的描述：

分配

BlackSuit 勒索软件通过多种方式传播，包括受感染的电子邮件附件、Torrent 网站、恶意广告和特洛伊木马。

执行

一旦勒索软件感染系统，它就会启动加密过程。它使用 FindFirstFileW() 和 FindNextFileW() API 函数来枚举系统上的文件和目录。

加密

BlackSuit 勒索软件使用高级加密标准 (AES) 等强大的加密算法来加密目标文件类型。通过将“.blacksuit”扩展名附加到其原始名称来修改加密文件。

勒索信

加密文件后，BlackSuit 勒索软件会在其遍历的每个目录中投放名为“README.BlackSuit.txt”的勒索字条。勒索信是攻击者的通信，要求支付赎金以换取解密密钥。

桌面壁纸更换

BlackSuit 勒索软件还会更改受感染系统的桌面壁纸，显示与勒索软件攻击相关的消息或图像。

数据丢失和勒索

如果没有解密密钥，加密的文件将无法访问和使用。如果不支付赎金，攻击者可能会威胁泄露或出售受损数据。

不要支付赎金！建议 BlackSuit 勒索软件攻击的受害者向执法部门报告该事件，并寻求信誉良好的网络安全专业人士的帮助。

如何应对 BlackSuit 勒索软件攻击

重要的：确定 BlackSuit IOC 后的第一步是求助于您的事件响应计划 (IRP)。理想情况下，您拥有一支由值得信赖的专业团队组成的事件响应人员 (IRR)，可以 24/7/365 联系，他们可以立即采取行动，防止数据丢失、减少或消除赎金支付，并帮助您承担任何法律责任。据我们所知，根据本文发表时所掌握的信息，勒索软件恢复专家团队将采取的第一步是通过断开受感染计算机与互联网的连接并删除任何连接来隔离受感染的计算机。同时，该团队将协助您联系您所在国家/地区的地方当局。对于美国居民和企业来说，当地联邦调查局外地办事处和网络犯罪投诉中心（IC3）。要报告勒索软件攻击，您必须收集有关勒索软件攻击的所有信息，包括：

勒索信截图
与勒索软件参与者的通信（如果有的话）
加密文件的示例

但是，如果您没有 IRP 或 IRR，您仍然可以联系勒索软件清除和恢复专业人员。这是最好的行动方案，大大增加了成功删除勒索软件、恢复数据和防止未来攻击的机会。我们建议您让每台受感染的机器保持原样并致电紧急勒索软件恢复服务.重新启动或关闭系统可能会影响恢复过程。捕获实时系统的 RAM 可能有助于获取加密密钥，捕获植入程序文件可能会被逆向工程并导致数据解密或了解其运行方式。

从 BlackSuit 勒索软件攻击中恢复时不应该做什么

你必须不删除勒索软件，并保留所有攻击证据。这对于数字取证这样专家就可以追溯到黑客组织并识别他们。当局可以通过使用受感染系统上的数据调查这次袭击并找到责任人。网络攻击调查与任何其他刑事调查没有什么不同：它需要证据来找到攻击者。

1. 联系您的事件响应提供商

网络事件响应是响应和管理网络安全事件的过程。事件响应保留者是与网络安全提供商签订的服务协议，允许组织获得有关网络安全事件的外部帮助。它通过安全合作伙伴为组织提供结构化形式的专业知识和支持，使他们能够在网络事件期间快速有效地做出响应。事件响应保留人员让组织高枕无忧，在网络安全事件发生之前和之后提供专家支持。事件响应保留程序的具体性质和结构将根据提供商和组织的要求而有所不同。良好的事件响应保留者应该强大而灵活，提供经过验证的服务来增强组织的长期安全态势。如果您联系您的 IR 服务提供商，他们会关心其他一切。但是，如果您决定与 IT 团队一起删除勒索软件并恢复文件，则可以按照以下步骤操作。

2. 识别勒索软件感染

你可以识别勒索软件通过文件扩展名感染您的计算机（某些勒索软件使用文件扩展名作为其名称），否则它将出现在勒索信中。有了这些信息，您就可以查找公共解密密钥。您还可以通过其 IOC 检查勒索软件类型。妥协指标 (IOC) 是网络安全专业人员用来识别网络或 IT 环境中的系统妥协和恶意活动的数字线索。它们本质上是犯罪现场留下的证据的数字版本，潜在的 IOC 包括异常的网络流量、来自外国的特权用户登录、奇怪的 DNS 请求、系统文件更改等等。当检测到 IOC 时，安全团队会评估可能的威胁或验证其真实性。 IOC 还提供攻击者渗透网络后可以访问的内容的证据。

3. 删除勒索软件并消除漏洞利用工具包

在恢复数据之前，您必须保证您的设备没有勒索软件，并且攻击者无法通过漏洞利用套件或其他漏洞进行新的攻击。勒索软件删除服务可以删除勒索软件、创建调查取证文档、消除漏洞并恢复数据。使用反恶意软件/反勒索软件来隔离和删除恶意软件。

重要的：通过联系勒索软件清除服务，您可以确保您的计算机和网络没有 BlackSuit 勒索软件的痕迹。此外，这些服务可以修补您的系统，防止新的勒索软件攻击。

4.使用备份恢复数据

备份是恢复数据最有效的方法。确保保留每日或每周备份，具体取决于您的数据使用情况。

5.联系勒索软件恢复服务

如果您没有备份或需要帮助删除勒索软件和消除漏洞，请联系数据恢复服务。支付赎金并不能保证您的数据会归还给您。恢复每个文件的唯一有保证的方法是拥有该文件的备份。如果您不这样做，勒索软件数据恢复服务可以帮助您解密并恢复文件。SalvageData 专家可以安全地恢复您的文件并防止 BlackSuit 勒索软件再次攻击您的网络。请全天候 (24/7) 联系我们的专家以获得紧急恢复服务。

防止勒索软件攻击

防止勒索软件是数据安全的最佳解决方案。比从中恢复更容易、更便宜。 BlackSuit 勒索软件可能会毁掉您企业的未来，甚至关门大吉。以下是一些提示，可确保您可以避免勒索软件攻击:

使用可靠的防病毒软件。在您的系统上安装并定期更新信誉良好的防病毒软件。这可以帮助检测和阻止已知的勒索软件威胁，包括 BlackSuit。
请谨慎对待电子邮件附件。打开电子邮件附件时要小心，尤其是当它们来自未知或可疑来源时。避免打开您不期望或看起来可疑的附件。
警惕可疑链接。避免点击可疑链接，尤其是电子邮件、弹出广告或不熟悉的网站中的链接。这些链接可能会导致恶意网站传播 BlackSuit 等勒索软件。
让您的操作系统和软件保持最新。定期更新您的操作系统、网络浏览器和其他软件应用程序。软件更新通常包括安全补丁，可以帮助防止勒索软件可能利用的已知漏洞。
启用自动更新。启用操作系统和软件应用程序的自动更新。这可确保您无需手动干预即可收到最新的安全补丁和更新。
定期备份您的文件。定期将重要文件备份到外部硬盘、云存储或其他安全位置。如果发生勒索软件攻击，备份可以帮助您恢复文件，而无需支付赎金。
教育你自己和你的员工。对您自己和您的员工进行安全在线实践教育，例如避免可疑下载、谨慎对待电子邮件附件以及识别网络钓鱼尝试。认识和警惕对于预防勒索软件感染大有帮助。