Alphv (BlackCat) 勒索軟件：如何預防和恢復

Alphv 是用 Rust 編程語言編寫的勒索軟件，用於加密受害者的數據。它是勒索軟件即服務（RaaS），這意味著每個網絡犯罪團伙將使用不同的擴展文件並以不同的方式重命名加密數據。勒索信也是如此，其內容將取決於黑客團伙。該勒索軟件由俄羅斯勒索軟件團伙 BlackCat 傳播。截至 2022 年 3 月，全球至少有 60 個組織和企業感染阿爾夫病毒勒索軟件。保誠保險披露了 2024 年 2 月的一次網絡攻擊，該攻擊損害了 36,000 人的數據，促使對未經授權的網絡訪問進行調查。雖然該公司聘請了一家網絡安全公司並通知了執法部門，但尚未確認該事件是否涉及勒索軟件。此次洩露事件是由 AlphV 勒索軟件團伙造成的一系列洩露事件的一部分，其中包括一個著名的勒索軟件團伙對變革醫療保健的攻擊，有報導稱支付了 2200 萬美元的贖金。 最近，Alphv (BlackCat) 勒索軟件團伙捲入了一起重大退出騙局。據報導黑客新聞據稱，在收到付款後，ALPHV 運營商關閉了其關聯公司的賬戶。他們在洩密網站上偽造了一份虛假的扣押通知，這是欺騙附屬機構和當局的複雜企圖。

儘管聲稱執法部門已採取行動，但美國司法部、歐洲刑警組織和英國國家犯罪局等機構否認參與。然而，美國司法部向全球 500 名 Alphv 受害者提供了免費解密器。該部門還提供獎勵任何有關 ALPHV 的信息與 BlackCat 相關的網絡攻擊者針對的是美國關鍵基礎設施。這一精心設計的計劃引起了網絡安全專家的注意，他們強調了在出口騙局中前所未有地使用虛假扣押通知的情況。該事件凸顯了勒索軟件運營商為逃避檢測和最大化非法收益而採用的不斷變化的策略。儘管騙局成功，但專家預計該組織在暫時中斷後最終會以新的幌子或新品牌捲土重來。隨著執法機構繼續調查該事件，該案件清楚地提醒人們勒索軟件的持續威脅以及打擊數字領域網絡犯罪活動的持續努力。

更多閱讀：NoBit 勒索軟件：如何刪除和預防

Alphv，也稱為 BlackCat，是一種勒索軟件，它是一種惡意軟件，它會加密並鎖定受害者的文件，然後請求贖金以換取解密密鑰。它還竊取受害者的數據，並威脅以一種稱為雙重勒索的策略洩露數據。 Alphv 勒索軟件是勒索軟件即服務 (RaaS)，在全球擁有分支機構。除了威脅之外，BlackCat 勒索軟件還可能導致 DDoS 攻擊，這將通過多個請求使服務器過載來阻止用戶訪問服務器。

Alphv 概述

您可以通過計算機或網絡上的一些症狀和跡象來識別 Alphv。一旦您意識到自己是網絡攻擊的受害者，請立即聯繫當地當局。確認姓名

• ALPHV（黑貓）病毒

威脅類型

• 勒索軟件
• 加密病毒
• 文件櫃

加密文件擴展名

• 取決於型號

索要贖金的消息

• 取回-[文件擴展名]-FILES.txt

有免費的解密器嗎？

• FBI 提供免費為 500 多名 ALPHV/BlackCat 受害者提供解密程序全球範圍內並破壞了勒索軟件 TOR 網站。

Windows 檢測名稱

• 阿瓦斯特Win32:RansomX-gen [贖金]
• 比特衛士基因：變種.Barys.331754
• 埃姆西軟件基因：變體。
• 卡巴斯基勒索木馬.Win32.BlackCat.bn
• 微軟贖金：Win32/BlackCat.A
• 索福斯馬爾/黑貓-A

Linux 檢測名稱

• 阿瓦斯特ELF:Filecoder-DP [Trj]
• 比特衛士通用.Ransom.ESXiArgs.D.E70D3AE7
• 索福斯Linux/Ransm-U

症狀

• 無法打開計算機上存儲的文件
• 新的文件擴展名
• 您桌面上的勒索贖金消息

勒索軟件家族、類型和變種

• ALPHV 勒索軟件家族
• RaaS型
• BlackCat 勒索軟件、Alphv、AlphaVM、Noberus、Coreid、FIN7、Carbon Spider

分配方式

• 受感染的電子郵件附件（網絡釣魚電子郵件）
• Torrent 網站（受感染的鏈接或文件）
• 惡意廣告（惡意廣告）

結果

• 鎖定的文件
• 密碼被盜
• 數據洩露
• 分佈式拒絕服務

預防

• 防病毒和反惡意軟件
• 更新軟件
• 更新的操作系統 (OS)
• 防火牆
• 不要打開來源不明的電子郵件附件
• 不要從可疑網站下載文件
• 除非您確定安全，否則請勿點擊廣告
• 僅訪問來自可靠來源的網站

Alphv 是如何感染您的計算機的

BlackCat 勒索軟件感染您的計算機和網絡的主要方式是通過垃圾郵件和網絡釣魚電子郵件。單擊一個鏈接或下載惡意附件將在計算機上安裝勒索軟件漏洞利用工具包。

垃圾郵件活動是網絡釣魚電子郵件攻擊，黑客利用社交工程欺騙受害者點擊惡意鏈接或附件。之後，漏洞利用工具包被下載到計算機中，威脅行為者可以隨時觸發勒索軟件。當黑客打算訪問特定業務時，這些電子郵件可能是有針對性的，或者當他們發送大量惡意軟件垃圾郵件活動時，這些電子郵件可能是非針對性的網絡釣魚。之後，Alphv 將利用橫向移動的方式通過網絡服務器進行傳播。所以，網絡安全工具和協議例如，對員工進行良好實踐教育，以提高安全意識，並實施軟件來阻止惡意通信，這些都有助於防止 BlackCat 攻擊。

Alphv 加密和勒索信息

Alphv 勒索信內容會根據攻擊者群體的不同而有所不同。一般來說，它不僅指出數據被竊取和加密，而且還警告如果受害者不支付贖金，攻擊者組織將在暗網上（在 Tor 網站上）發布數據。文本還指示使用提供的網站和個人 ID 與攻擊者聯繫。受到 Alphv 勒索軟件攻擊後，您可以在桌面上看到一封作為文本文件的信件。這是其內容的示例：

BlackCat 勒索信示例（來源：Microsoft）

Alphv 勒索軟件如何運作

BlackCat 勒索軟件是用 Rust 編寫的，適應性很強。他們針對多個行業，儘管他們的主要受害者是醫療保健企業，例如製藥企業。他們將通過未修補的 Exchange 和受損的憑據進入您的網絡。之後，勒索軟件在加密和數據洩露過程中會遵循4個步驟：

• 發現
• 橫向運動
• 收集和滲漏
• 加密和勒索

1. 發現

網絡攻擊者將探索系統的漏洞以獲取對環境的訪問權限。然後，Alphv 勒索軟件操作者使用發現命令來了解他們所破壞的組織。您可以通過消除系統的漏洞來防止勒索軟件。為此，您可以保持所有軟件更新，並通過對您的團隊進行網絡威脅培訓來提高網絡安全意識。

2.橫向運動

感染計算機和網絡幾天后，Alphv 開始使用防止防病毒軟件檢測的技術竊取憑據。它通過遠程桌面協議 (RDP) 在網絡中移動。攻擊者將花費數天時間探索網絡，訪問連接到網絡的每個設備，收集信息並確定他們可以訪問哪些設備

3. 收集和滲漏

此時，攻擊者將提取域設置和信息以及知識產權等數據。由於該組織威脅要洩露知識產權信息，因此這些數據將用於勒索。由於他們在幾天內從許多設備和文件夾收集數據，因此他們收集了大量可用於雙重勒索的數據。

4. 加密和勒索

最後一步是加密和勒索信。因此，Alphv 在企業網絡上默默地工作了一整天，主要利用憑據洩露造成的漏洞。這是大流行期間開始的遠程工作模式的結果。但是，您可以使用網絡安全服務和工具來保護您的系統，而無需讓員工返回辦公室。

防止 Alphv 勒索軟件攻擊

通過確保您的網絡安全，您可以避免 Alphv 攻擊。由於 BlackCat 非常具有攻擊性，因此只有採取網絡安全解決方案才能避免它。然而，這些措施並非完美無缺，攻擊者可以設法進入您的企業網絡。這就是為什麼更新備份如此重要：這將確保您的數據安全。

1. 使用更新的防病毒、反惡意軟件和防火牆

通過使用更新的安全軟件，您可以保證他們擁有必要的數據來阻止新形式的攻擊，例如 Alphv 變體。確保還擁有防火牆來阻止任何未經授權的訪問。向電子郵件和網絡添加攔截器，以防止網絡釣魚並確保所有信息都傳輸到網絡之外

2.應用多重身份驗證

您可以使用雙因素身份驗證或生物識別解鎖來確保只有授權人員才能訪問文件夾、設備或帳戶。

3.使用網絡安全解決方案

網絡安全解決方案包括安全軟件，例如防病毒軟件，還包括培訓員工了解遵循網絡安全最佳實踐的重要性等措施。內部威脅與外部威脅一樣重要。員工並不總是有破壞企業的意圖。大多數時候，一個無意識的錯誤可能會導致勒索軟件攻擊。

4.安排定期備份

至少保留三份數據副本，其中至少一份離線和異地存儲。這可以保證，即使您遭受自然或人為災難（如勒索軟件），您的數據始終安全。定期備份可以防止停機並確保您永遠不會丟失任何敏感數據。

5. 制定恢復計劃

儘管您採取了一切預防措施來保護您的業務數據，但災難仍然可能發生。確保您有一個災難恢復計劃，以保持業務連續性並防止停機，即使發生 Alphv (BlackCat) 勒索軟件攻擊也是如此。通過我們的深入指南了解如何創建數據恢復計劃。

如何從 Alphv 攻擊中恢復

從 Alphv 攻擊中恢復的第一步是通過斷開與互聯網的連接並刪除所有連接的設備來隔離受感染的計算機。然後，您必須聯繫地方當局。就美國居民和企業而言，當地聯邦調查局外地辦事處和網絡犯罪投訴中心（IC3）要報告勒索軟件攻擊，您必須收集有關勒索軟件攻擊的所有信息，包括：

• 勒索信截圖
• 與 Alphv 演員的交流（如果有的話）
• 加密文件示例

您不得刪除勒索軟件，並保留所有攻擊證據。這對於數字取證非常重要，因此專家可以追溯到黑客組織並識別他們。正在使用受感染系統上的數據，以便當局調查攻擊並找到責任人。網絡攻擊調查與任何其他刑事調查沒有什麼不同：它需要證據來找到攻擊者。隔離設備並聯繫當局後，您必須按照以下步驟取回數據：

1. 聯繫您的事件響應人員

網絡事件響應是響應和管理網絡安全事件的過程。事件響應保留者是與網絡安全提供商簽訂的服務協議，允許組織獲​​得有關網絡安全事件的外部幫助。它通過安全合作夥伴為組織提供結構化形式的專業知識和支持，使他們能夠在發生網絡事件時快速有效地做出響應。事件響應保留人員讓組織高枕無憂，在網絡安全事件發生之前和之後提供專家支持。事件響應保留器的具體性質和結構將根據提供商和組織的要求而變化。良好的事件響應保留者應該強大而靈活，提供經過驗證的服務來增強組織的長期安全態勢。

2. 識別勒索軟件感染

您可以通過文件擴展名檢查哪些勒索軟件感染了您的計算機（某些勒索軟件使用文件擴展名作為其名稱），或者它會出現在勒索字條上。有了這些信息，您就可以查找公共解密密鑰。然而，Alphv還沒有。

3. 刪除勒索軟件並消除漏洞利用工具包

在恢復數據之前，您必須保證您的設備沒有勒索軟件，並且攻擊者無法通過漏洞利用套件或其他漏洞進行新的攻擊。勒索軟件刪除服務可以刪除勒索軟件、創建用於調查的取證文檔、消除漏洞並恢復數據。

4.使用備份恢復數據

備份是恢復數據最有效的方法。確保保留每日或每周備份，具體取決於您的數據使用情況。

5.聯繫勒索軟件恢復服務

如果您沒有備份或需要幫助刪除勒索軟件和消除漏洞，您應該聯繫數據恢復服務。不要支付贖金。除了資助犯罪活動的道德問題之外，支付贖金還會帶來製裁等嚴重後果。聯繫主管當局（在美國是 FBI），然後與勒索軟件數據恢復服務合作。 SalvageData 專家可以安全地恢復您的文件並保證 Alphv 勒索軟件不會再次攻擊您的網絡。 24/7 聯繫我們的專家獲取緊急恢復服務或查找您附近的恢復中心。