SuperBlack 勒索软件:另一个需要避免的威胁
Table of Contents
了解 SuperBlack 勒索软件
SuperBlack 是一种勒索软件变种,据信源自LockBit 3.0 勒索软件家族。这种感染会加密文件并要求支付赎金才能解密,除非受害者有备份,否则他们几乎没有文件恢复选项。感染后,SuperBlack 会通过在文件原始名称后附加随机字符串来重命名文件。例如,名为“document.pdf”的文件可能会变成“document.pdf.fB1SZ2i3X”。
除了加密数据外,SuperBlack 还会修改受害者的桌面壁纸,并留下一封以随机生成的字符串为标题的勒索信(例如“[random_string].README.txt”)。勒索信会指导受害者如何联系攻击者,并警告受害者不要使用第三方恢复工具,声称这些工具可能会永久损坏加密文件。
赎金通知内容如下:
>>>> Your data are stolen and encrypted!
>>>> Sensitive data on your system was DOWNLOADED and it will be PUBLISHED if you refuse to cooperate. Your competitors or law enforcement may get them on the web.
Data includes:
- Employees personal data, CVs, DL, SSN.
- Complete network map including credentials for local and remote services.
- Financial information including clients data, bills, budgets, annual reports, bank statements.
- Complete datagrams/schemas/drawings for manufacturing in solidworks format
- And more...
You can request the tree of files that we have.>>>> You need contact us and decrypt one file for free, send a small file for test decryption with your personal DECRYPTION ID to tox chat:
>>>> Your personal DECRYPTION ID: 7FBC34A4128F7B75E19B7F2A4E1938A0
1)Download and install TOX chat: hxxps://tox.chat
2)Write to this tox id: DED25DCB2AAAF65A05BEA584A0D1BB1D55DD 2D8BB4185FA39B5175C60C8DDD0C0A7F8A8EC815 and wait for the answer, we will always answer you.
>>>> DO NOT MODIFY FILES YOURSELF.
>>>> DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
>>>> YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.
>>>> YOUR DATA IS STRONGLY ENCRYPTED, YOU CAN NOT DECRYPT IT WITHOUT CIPHER KEY.
SuperBlack 勒索软件的策略和目标
SuperBlack 主要由一个名为“Mora_001”的网络犯罪团伙使用,该团伙疑似使用俄语。该勒索软件活动在 2025 年 1 月至 3 月期间最为活跃。该团伙入侵受害者的系统,加密他们的文件并窃取敏感数据。被盗信息包括网络详细信息、财务记录、制造数据以及员工和客户的个人信息。
勒索信中写道,如果受害者拒绝服从,攻击者就会将窃取的数据泄露到网上。为了进一步向受害者施压,攻击者提出通过提供样本并演示解密一个加密文件来证明数据泄露。这种策略利用了受害者的恐惧和紧迫感,增加了受害者屈服于赎金要求的可能性。
SuperBlack 与 LockBit 勒索软件的联系
有证据表明,SuperBlack 与 LockBit 勒索软件有相似之处,尤其是在代码结构和加密技术方面。此外,据观察,SuperBlack 使用之前与 LockBit 运营商关联的 Tox ID(匿名消息标识符)。然而,SuperBlack 不使用 LockBit 的基础设施,这表明虽然这两种勒索软件可能存在关联,但它们是具有独立操作的不同实体。
与高度针对性的攻击不同,SuperBlack 活动是机会主义的,这意味着它们利用易受攻击的系统而没有特定的目标。众所周知,攻击者会利用 Fortinet 防火墙的安全漏洞来获得初始访问权限,然后提升权限、建立持久性并在网络中横向移动。攻击的最后阶段以数据泄露和文件加密告终。
如果您被感染会发生什么?
对于大多数勒索软件攻击,如果没有攻击者的合作,解密几乎是不可能的。网络犯罪分子使用先进的加密技术,这使得安全专家很难开发解密工具。SuperBlack 也不例外。没有备份的受害者经常面临永久性数据丢失。
即使受害者支付了赎金,也没人能确定他们会收到解密密钥。许多网络犯罪团伙在付款后仍未提供必要的工具,而支付的赎金只会为进一步的犯罪活动提供资金。安全专家强烈反对支付赎金,而是建议删除恶意软件并尝试从备份中恢复数据。
勒索软件如何传播
勒索软件(如 SuperBlack)通过各种攻击媒介传播。一些最常见的方法包括:
- 网络钓鱼电子邮件:攻击者使用包含恶意链接或附件的欺诈性电子邮件来执行勒索软件。
- 利用软件漏洞:黑客利用过时或未修补的软件(例如防火墙漏洞)来获取访问权限。
- 驱动下载:用户通过访问受感染的网站或点击恶意广告在不知情的情况下下载勒索软件。
- 特洛伊木马下载程序:一些恶意软件程序在用户不知情的情况下安装勒索软件作为辅助负载。
- 盗版软件和破解程序:非法软件下载通常包含隐藏的恶意软件,包括勒索软件。
- 可移动媒体和网络传播:勒索软件可以通过 USB 驱动器、外部硬盘驱动器甚至本地网络传播。
保护自己免受 SuperBlack 勒索软件的侵害
预防勒索软件感染需要结合主动安全措施和用户意识。以下是一些防范 SuperBlack 和类似威胁的最佳做法:
- 在多个位置保存备份:定期将重要数据备份到外部驱动器、云存储和离线存储,以确保可恢复性。
- 使用强大的安全解决方案:安装并维护最新的防病毒和反恶意软件工具来检测和阻止威胁。
- 定期更新软件:修补操作系统、防火墙和其他软件中的漏洞,以降低攻击风险。
- 警惕电子邮件和链接:避免打开附件或点击来自未知发件人的链接,因为它们可能包含勒索软件。
- 从可信来源下载软件:仅使用官方网站和信誉良好的应用商店下载软件和更新。
- 限制管理权限:限制用户权限,以防止对系统文件进行未经授权的更改。
- 使用多重身份验证 (MFA):通过要求敏感账户执行多个身份验证步骤来加强安全性。
如果你被感染了该怎么办
如果您的系统受到 SuperBlack 勒索软件的攻击,请立即采取以下步骤:
- 断开网络:隔离受感染的系统,以防止勒索软件传播到其他设备。
- 不要支付赎金:支付赎金并不能保证文件恢复,而且可能会鼓励进一步的攻击。
- 删除恶意软件:使用安全软件扫描并删除勒索软件。
- 尝试数据恢复:如果可用,请从备份中恢复文件。检查在线安全资源以查找可能的解密工具。
- 报告攻击:通知执法机构和网络安全机构,以帮助追踪威胁行为者。
关键要点
SuperBlack 勒索软件是一种复杂且危险的恶意软件,它会加密文件,并威胁称如果受害者不遵守赎金要求,就会泄露被盗数据。虽然它与 LockBit 勒索软件有一些相似之处,但它独立运作,使用自己的基础设施和方法。
受害者绝不应该支付赎金,因为这样做会助长犯罪活动,而且不能保证数据恢复。相反,他们应该专注于清除恶意软件、加强安全措施和定期备份。通过保持知情并实践网络安全最佳实践,用户可以降低 SuperBlack 等勒索软件攻击的风险。
