Home BlackSuit Ransomware: la guida completa

BlackSuit Ransomware: la guida completa

Il ransomware BlackSuit è un tipo di malware noto per prendere di mira sia gli utenti Windows che Linux e impedisce alle vittime di accedere ai propri file crittografandoli. Di solito è possibile identificare questo ransomware perché BlackSuit aggiunge l'estensione ".blacksuit" ai nomi dei file e modifica lo sfondo del desktop, crea una richiesta di riscatto chiamata "README.BlackSuit.txt" e rinomina i file. La richiesta di riscatto di BlackSuit avanzerà diverse affermazioni, in particolare che i file essenziali sono stati crittografati e archiviati su un server sicuro e pertanto tutti i rapporti finanziari, la proprietà intellettuale, i file personali e altri dati sensibili sono stati compromessi. BlackSuit dispone anche di un sito di fuga di dati come parte della sua strategia di doppia estorsione per costringere le vittime a pagare la richiesta di riscatto.

Che tipo di malware è BlackSuit?

BlackSuit è un ransomware, un tipo di malware che crittografa i file sul sistema di una vittima e richiede un pagamento in cambio della chiave di decrittazione. Una volta che il ransomware infetta un sistema, utilizza le funzioni API FindFirstFileW() e FindNextFileW() per enumerare i file e le directory e avviare il processo di crittografia. Il ransomware BlackSuit utilizza l'algoritmo Advanced Encryption Standard (AES) per crittografare i file. L'algoritmo AES è un algoritmo di crittografia simmetrica ampiamente utilizzato per crittografare i dati. Il ransomware BlackSuit utilizza AES di OpenSSL per la crittografia e sfrutta tecniche di crittografia intermittenti simili per una crittografia rapida ed efficiente dei file delle vittime. Il ransomware BlackSuit si rivolge agli utenti dei sistemi operativi Windows e Linux. Il ransomware rilascia la richiesta di riscatto denominata “README.BlackSuit.txt” in ogni directory che attraversa. Dopo aver crittografato i file, li rinomina aggiungendo l'estensione “.BlackSuit”.

Tutto quello che sappiamo sul BlackSuit Ransomware

Nome confermato

  • Virus del vestito nero

Tipo di minaccia

  • Ransomware
  • Criptovirus
  • Armadietto dei file
  • Doppia estorsione

Estensione file crittografati

  • .vestito nero

Messaggio di richiesta di riscatto

  • README.BlackSuit.txt

Nomi di rilevamento

  • AvastWin32: generazione di malware
  • KasperskyHEUR:Trojan-Ransom.Win32.Generic
  • SophosMal/Generico-S (PUA)
  • MicrosoftRiscatto:Win32/BlackSuit.B

Metodi di distribuzione

  • Allegati e-mail infetti (macro)
  • Siti web torrent
  • Annunci dannosi
  • Troiani

Conseguenze

  • I file vengono crittografati e bloccati fino al pagamento del riscatto
  • Perdita di dati
  • Doppia estorsione

Variante di Windows

  • Le varianti Windows a 32 bit delle famiglie di ransomware BlackSuit e Royal condividono una somiglianza del 93,2% nelle funzioni, del 99,3% nei blocchi di base e del 98,4% nei salti basati su BinDiff.
  • BlackSuit e Royal utilizzano AES di OpenSSL per la crittografia e sfruttano tecniche di crittografia intermittente simili.

Variante di Linux

  • La variante Linux del ransomware BlackSuit è un eseguibile ELF a 64 bit compilato con GCC con sha256 come 1c849adcccad4643303297fb66bfe81c5536be39a87601d67664af1d14e02b9e.
  • Le varianti Linux di Royal e BlackSuit condividono il 98% di somiglianza nelle funzioni, il 99,5% di somiglianza nei blocchi e il 98,9% di somiglianza nei salti in base allo strumento di confronto BinDiff.

È disponibile un decryptor gratuito?

NO.Al momento non è disponibile alcun decryptor pubblico noto per il ransomware BlackSuit.

Quali sono gli IOC del ransomware BlackSuit?

Gli indicatori di compromesso (IOC) sono artefatti osservati su una rete o in un sistema operativo che indicano un'intrusione informatica con elevata probabilità. Gli IOC possono essere utilizzati per il rilevamento tempestivo di futuri tentativi di attacco utilizzando sistemi di rilevamento delle intrusioni e software antivirus. L'infezione da ransomware BlackSuit potrebbe non mostrare alcun sintomo evidente finché non viene visualizzata la notifica di riscatto. Tuttavia, ecco alcuni sintomi che potrebbero indicare un'infezione da ransomware BlackSuit:

  • Non è possibile aprire o accedere ai file e i loro nomi sono stati modificati per includere l'estensione ".blacksuit".
  • Lo sfondo del desktop è stato modificato.
  • Una richiesta di riscatto chiamata “README.BlackSuit.txt” è presente in ogni directory.
  • La richiesta di riscatto afferma che i file essenziali sono stati crittografati e archiviati su un server sicuro e che i rapporti finanziari, la proprietà intellettuale, i file personali e altri dati sensibili sono stati compromessi.
  • La vittima potrebbe ricevere un messaggio che richiede il pagamento in cambio della chiave di decrittazione.

Se uno qualsiasi di questi sintomi è presente, si consiglia di intraprendere azioni immediate per prevenire ulteriori danni e perdite di dati. Contattare gli esperti di rimozione del ransomware SalvageData ti offre un servizio sicuro di recupero dati e rimozione del ransomware dopo un attacco.

Cosa c'è nella richiesta di riscatto di BlackSuit

La richiesta di riscatto generata dal ransomware BlackSuit si chiama “README.BlackSuit.txt” e viene rilasciata in ogni directory che attraversa. La nota contiene un messaggio degli aggressori che affermano che i file essenziali sono stati crittografati e archiviati su un server sicuro. La nota menziona inoltre che i rapporti finanziari, la proprietà intellettuale, i file personali e altri dati sensibili sono stati compromessi. Gli aggressori richiedono il pagamento di un riscatto in cambio della chiave di decrittazione. Nel complesso, il tono della richiesta di riscatto di BlackSuit è progettato per creare un senso di urgenza e paura nella vittima, costringendola a soddisfare le richieste degli aggressori. Esempio della richiesta di riscatto di BlackSuit:

Come si diffonde il ransomware BlackSuit

Modi comuni con cui il ransomware BlackSuit può infettare un sistema:

Allegati e-mail infetti (macro)

  • I criminali informatici possono distribuire il ransomware BlackSuit tramite allegati e-mail che contengono collegamenti o macro infetti.
  • Gli utenti che aprono questi allegati o abilitano le macro possono inavvertitamente attivare l'esecuzione del ransomware sul proprio sistema.

Siti web torrent

  • Il ransomware BlackSuit può essere incorporato nei file torrent, che vengono comunemente utilizzati per scaricare e condividere file attraverso reti peer-to-peer.
  • Quando gli utenti scaricano e aprono questi file torrent infetti, i loro sistemi possono essere infettati dal ransomware.

Annunci dannosi

  • Gli annunci dannosi, noti anche come malvertising, possono essere utilizzati come metodo per distribuire il ransomware BlackSuit.
  • Gli utenti che fanno clic su questi annunci potrebbero essere reindirizzati a siti Web che scaricano e installano automaticamente il ransomware sul proprio sistema.

Troiani

  • Il ransomware BlackSuit può essere distribuito tramite trojan, ovvero programmi dannosi in grado di scaricare e installare altri tipi di malware, incluso il ransomware.
  • I trojan possono essere distribuiti attraverso vari mezzi, come e-mail di phishing, aggiornamenti software falsi o siti Web compromessi

Come funziona il ransomware BlackSuit?

BlackSuit ransomware è un tipo di malware che funziona come una minaccia ransomware, impedendo alle vittime di accedere ai propri file crittografandoli. È importante notare che il comportamento e la funzionalità specifici del ransomware BlackSuit possono variare a seconda delle diverse versioni o varianti. Ecco una descrizione di come funziona tipicamente il ransomware BlackSuit:

Distribuzione

BlackSuit ransomware viene distribuito attraverso vari metodi, inclusi allegati e-mail infetti, siti Web torrent, annunci dannosi e trojan.

Esecuzione

Una volta che il ransomware infetta un sistema, avvia il processo di crittografia. Utilizza le funzioni API FindFirstFileW() e FindNextFileW() per enumerare i file e le directory nel sistema.

Crittografia

Il ransomware BlackSuit utilizza un potente algoritmo crittografico, come Advanced Encryption Standard (AES), per crittografare i tipi di file presi di mira. I file crittografati vengono modificati aggiungendo l'estensione ".blacksuit" ai loro nomi originali.

Nota di riscatto

Dopo aver crittografato i file, BlackSuit ransomware rilascia una richiesta di riscatto denominata “README.BlackSuit.txt” in ogni directory che attraversa. La richiesta di riscatto funge da comunicazione da parte degli aggressori, chiedendo il pagamento di un riscatto in cambio della chiave di decrittazione.

Modifica dello sfondo del desktop

Il ransomware BlackSuit altera anche lo sfondo del desktop del sistema infetto, visualizzando un messaggio o un'immagine relativa all'attacco ransomware.

Perdita di dati ed estorsione

I file crittografati diventano inaccessibili e inutilizzabili senza la chiave di decrittazione. Gli aggressori potrebbero minacciare di divulgare o vendere i dati compromessi se il riscatto non viene pagato.

Non pagare il riscatto!Si consiglia alle vittime degli attacchi ransomware BlackSuit di segnalare l'incidente alle forze dell'ordine e di chiedere l'assistenza di un rispettabile professionista della sicurezza informatica.

Come gestire un attacco ransomware BlackSuit

Importante:Il primo passo dopo aver identificato gli IOC BlackSuit è ricorrere al piano di risposta agli incidenti (IRP). Idealmente, disponi di un Incident Response Retainer (IRR) con un team fidato di professionisti che può essere contattato 24 ore su 24, 7 giorni su 7, 365 giorni all'anno, e che possono intraprendere azioni immediate per prevenire la perdita di dati, ridurre o eliminare il pagamento del riscatto e aiutarti a risolvere eventuali responsabilità legali. Per quanto a nostra conoscenza con le informazioni di cui disponiamo al momento della pubblicazione di questo articolo, il primo passo che un team di esperti di recupero ransomware dovrebbe intraprendere è isolare il computer infetto disconnettendolo da Internet e rimuovendo qualsiasi dispositivo connesso dispositivo.Contemporaneamente questo team ti aiuterà a contattare le autorità locali del tuo Paese. Per i residenti e le imprese statunitensi, è ilufficio locale dell'FBIe ilCentro reclami sulla criminalità su Internet (IC3). Per segnalare un attacco ransomware devi raccogliere tutte le informazioni possibili al riguardo, tra cui:

  • Screenshot della richiesta di riscatto
  • Comunicazioni con gli autori del ransomware (se ne hai)
  • Un campione di un file crittografato

Tuttavia, se non disponi di un IRP o IRR, puoi comunquecontattare i professionisti della rimozione e del recupero del ransomware. Questa è la migliore linea d'azione e aumenta notevolmente le possibilità di rimuovere con successo il ransomware, ripristinare i dati e prevenire attacchi futuri. Ti consigliamo di farlolasciare tutte le macchine infette così come sonoe chiama unservizio di recupero ransomware di emergenza.Il riavvio o lo spegnimento del sistema potrebbe compromettere il processo di ripristino. Catturare la RAM di un sistema live può aiutare a ottenere la chiave di crittografia, mentre catturare un file dropper potrebbe essere sottoposto a ingegneria inversa e portare alla decrittografia dei dati o alla comprensione di come funziona.

Cosa NON fare per riprendersi da un attacco ransomware BlackSuit

Devinon eliminare il ransomwaree conservare ogni prova dell'attacco. Questo è importante perforense digitalein modo che gli esperti possano risalire al gruppo di hacker e identificarli. È utilizzando i dati presenti sul sistema infetto che le autorità possono farloindagare sull'attacco e trovare il responsabile.Un'indagine su un attacco informatico non è diversa da qualsiasi altra indagine penale: ha bisogno di prove per trovare gli aggressori.

Altre letture:Gruppo Daixin Ransomware: guida completa

1. Contattare il fornitore di servizi di risposta agli incidenti

Una risposta agli incidenti informatici è il processo di risposta e gestione di un incidente di sicurezza informatica. Un Incident Response Retainer è un contratto di servizio con un fornitore di sicurezza informatica che consente alle organizzazioni di ottenere aiuto esterno in caso di incidenti di sicurezza informatica. Fornisce alle organizzazioni una forma strutturata di competenza e supporto attraverso un partner di sicurezza, consentendo loro di rispondere in modo rapido ed efficace durante un incidente informatico. Un servizio di risposta agli incidenti offre tranquillità alle organizzazioni, offrendo supporto esperto prima e dopo un incidente di sicurezza informatica. La natura e la struttura specifica di un servizio di risposta agli incidenti varierà a seconda del fornitore e dei requisiti dell'organizzazione. Un buon servizio di risposta agli incidenti dovrebbe essere robusto ma flessibile, fornendo servizi comprovati per migliorare la posizione di sicurezza a lungo termine di un’organizzazione.Se contatti il ​​tuo fornitore di servizi IR, si prenderanno cura di tutto il resto.Tuttavia, se decidi di rimuovere il ransomware e ripristinare i file con il tuo team IT, puoi seguire i passaggi successivi.

2. Identificare l'infezione ransomware

Puoiidentificare quale ransomwareha infettato il tuo computer tramite l'estensione del file (alcuni ransomware utilizzano l'estensione del file come nome), oppure sarà sulla richiesta di riscatto. Con queste informazioni, puoi cercare una chiave di decrittazione pubblica. Puoi anche verificare il tipo di ransomware tramite i suoi IOC. Gli indicatori di compromesso (IOC) sono indizi digitali che i professionisti della sicurezza informatica utilizzano per identificare compromissioni del sistema e attività dannose all'interno di una rete o di un ambiente IT. Si tratta essenzialmente di versioni digitali delle prove lasciate sulla scena del crimine e i potenziali IOC includono traffico di rete insolito, accessi di utenti privilegiati da paesi stranieri, strane richieste DNS, modifiche ai file di sistema e altro ancora. Quando viene rilevato un IOC, i team di sicurezza valutano le possibili minacce o ne convalidano l'autenticità. Gli IOC forniscono anche prove di ciò a cui un utente malintenzionato ha avuto accesso se si è infiltrato nella rete.

3. Rimuovere il ransomware ed eliminare gli exploit kit

Prima di recuperare i tuoi dati, devi garantire che il tuo dispositivo sia privo di ransomware e che gli aggressori non possano sferrare un nuovo attacco tramite exploit kit o altre vulnerabilità. Un servizio di rimozione ransomware può eliminare il ransomware, creare un documento forense per le indagini, eliminare le vulnerabilità e recuperare i tuoi dati. Utilizza un software antimalware/antiransomware per mettere in quarantena e rimuovere il software dannoso.

Importante:Contattando i servizi di rimozione ransomware puoi assicurarti che il tuo computer e la tua rete non abbiano traccia del ransomware BlackSuit. Inoltre, questi servizi possono applicare patch al tuo sistema, prevenendo nuovi attacchi ransomware.

4. Utilizzare un backup per ripristinare i dati

I backup sono il modo più efficiente per ripristinare i dati. Assicurati di conservare backup giornalieri o settimanali, a seconda dell'utilizzo dei dati.

5. Contatta un servizio di recupero ransomware

Se non disponi di un backup o hai bisogno di aiuto per rimuovere il ransomware ed eliminare le vulnerabilità, contatta un servizio di recupero dati. Il pagamento del riscatto non garantisce che i tuoi dati ti verranno restituiti. L'unico modo garantito per ripristinare ogni file è se ne hai un backup. In caso contrario, i servizi di recupero dati ransomware possono aiutarti a decrittografare e recuperare i file. Gli esperti di SalvageData possono ripristinare in sicurezza i tuoi file e impedire al ransomware BlackSuit di attaccare nuovamente la tua rete. Contatta i nostri esperti 24 ore su 24, 7 giorni su 7 per il servizio di recupero di emergenza.

Previeni un attacco ransomware

Prevenire il ransomware è la soluzione migliore per la sicurezza dei dati. è più facile ed economico che recuperarli. Il ransomware BlackSuit può costare il futuro della tua azienda e persino chiudere i battenti. Questi sono alcuni suggerimenti per assicurarti di poterlo fareevitare attacchi ransomware:

  • Utilizza un software antivirus affidabile.Installa e aggiorna regolarmente un software antivirus affidabile sul tuo sistema. Ciò può aiutare a rilevare e bloccare le minacce ransomware note, incluso BlackSuit.
  • Prestare attenzione con gli allegati e-mail.Prestare attenzione quando si aprono allegati di posta elettronica, soprattutto se provengono da fonti sconosciute o sospette. Evita di aprire allegati che non ti aspettavi o che sembrano sospetti.
  • Diffidare dei collegamenti sospetti.Evita di fare clic su collegamenti sospetti, soprattutto nelle e-mail, negli annunci pop-up o su siti Web sconosciuti. Questi collegamenti possono portare a siti Web dannosi che possono distribuire ransomware come BlackSuit.
  • Mantieni aggiornati il ​​tuo sistema operativo e il tuo software.Aggiorna regolarmente il tuo sistema operativo, i browser web e altre applicazioni software. Gli aggiornamenti software spesso includono patch di sicurezza che possono aiutare a proteggere dalle vulnerabilità note che il ransomware potrebbe sfruttare.
  • Abilita gli aggiornamenti automatici.Abilita gli aggiornamenti automatici per il tuo sistema operativo e le tue applicazioni software. Ciò garantisce di ricevere le patch di sicurezza e gli aggiornamenti più recenti senza intervento manuale.
  • Esegui regolarmente il backup dei tuoi file.Effettua regolarmente il backup dei tuoi file importanti su un disco rigido esterno, un archivio cloud o un'altra posizione sicura. In caso di attacco ransomware, disporre di backup può aiutarti a ripristinare i tuoi file senza dover pagare il riscatto.
  • Educa te stesso e i tuoi dipendenti.Informa te stesso e i tuoi dipendenti sulle pratiche online sicure, come evitare download sospetti, essere prudenti con gli allegati e-mail e riconoscere i tentativi di phishing. La consapevolezza e la vigilanza possono fare molto per prevenire le infezioni da ransomware.

Seguendo queste misure preventive, puoi ridurre il rischio che il ransomware BlackSuit infetti il ​​tuo sistema e proteggere i tuoi file dalla crittografia.

Related Posts

Come riparare il wifi a 5 GHz non viene visualizzato su Windows 11

Come riparare il wifi a 5 GHz non viene visualizzato su Windows 11

2025-04-02
Come correggere i programmi che impiegano molto tempo ad aprire in Windows 10

Come correggere i programmi che impiegano molto tempo ad aprire in Windows 10

2025-04-30
Correggi l'errore 0x000000c4: il tuo PC deve riavviare

Correggi l'errore 0x000000c4: il tuo PC deve riavviare

2025-05-08
Come correggere l'errore di aggiornamento di Windows 0x800f0985

Come correggere l'errore di aggiornamento di Windows 0x800f0985

2025-05-02
2 modi per evitare la disinstallazione delle app dal menu di avvio di Windows 10

2 modi per evitare la disinstallazione delle app dal menu di avvio di Windows 10

2025-05-08
Articoli su Windows XP

Articoli su Windows XP

2024-12-22
I primi 5 modi per riparare un iPhone o iPad in muratura nel 2025

I primi 5 modi per riparare un iPhone o iPad in muratura nel 2025

2024-12-31
I primi 5 modi per riparare la guerra moderna 2 bloccati sull'installazione per PS5

I primi 5 modi per riparare la guerra moderna 2 bloccati sull'installazione per PS5

2024-01-09
Samsung potrebbe aver appena trovato il suo prossimo miglior cliente OLED che non è Apple e lo vedrai molto presto

Samsung potrebbe aver appena trovato il suo prossimo miglior cliente OLED che non è Apple e lo vedrai molto presto

2025-08-17
Come disattivare l'accelerazione del mouse in Windows 11

Come disattivare l'accelerazione del mouse in Windows 11

2025-04-15
Modifica la password di Windows offline con il kit di soccorso Trinity

Modifica la password di Windows offline con il kit di soccorso Trinity

2025-05-08
VPN mobili gratuiti al 100% per Android (Fast & Safe)

VPN mobili gratuiti al 100% per Android (Fast & Safe)

2025-11-06
Come rimuovere la barra delle persone dalla barra delle applicazioni di Windows 10

Come rimuovere la barra delle persone dalla barra delle applicazioni di Windows 10

2025-04-30
3 opzioni praticabili per recuperare chat/messaggi cancellati di Google Hangouts

3 opzioni praticabili per recuperare chat/messaggi cancellati di Google Hangouts

2024-10-08
Come moderare il tuo feed su Bluesky

Come moderare il tuo feed su Bluesky

2024-11-16