BlackSuit Ransomware: повний посібник

Програма-вимагач BlackSuit — це тип зловмисного програмного забезпечення, яке, як відомо, націлене на користувачів Windows і Linux і перешкоджає жертвам отримати доступ до їхніх файлів шляхом їх шифрування. Зазвичай ви можете ідентифікувати це програмне забезпечення-вимагач, оскільки BlackSuit додає розширення «.blacksuit» до імен файлів і змінює фоновий малюнок робочого столу, створює нотатку про викуп під назвою «README.BlackSuit.txt» і перейменовує файли. Записка про викуп BlackSuit містить кілька претензій, зокрема те, що важливі файли були зашифровані та збережені на безпечному сервері, а отже, будь-які фінансові звіти, інтелектуальна власність, особиста інформація. файли та інші конфіденційні дані були зламані. BlackSuit також має сайт витоку даних у рамках своєї подвійної стратегії здирництва, щоб змусити жертв сплатити вимогу викупу.

BlackSuit — це програмне забезпечення-вимагач, тип зловмисного програмного забезпечення, яке шифрує файли в системі жертви та вимагає плату в обмін на ключ дешифрування. Після того, як програмне забезпечення-вимагач заражає систему, воно використовує функції API FindFirstFileW() і FindNextFileW(), щоб перерахувати файли та каталоги та розпочати процес шифрування. Програма-вимагач BlackSuit використовує для шифрування файлів алгоритм Advanced Encryption Standard (AES). Алгоритм AES — це симетричний алгоритм шифрування, який широко використовується для шифрування даних. Програма-вимагач BlackSuit використовує AES OpenSSL для шифрування та використовує аналогічні методи періодичного шифрування для швидкого й ефективного шифрування файлів-жертв. Програма-вимагач BlackSuit націлена на користувачів операційних систем Windows і Linux. Програма-вимагач скидає примітку про викуп під назвою «README.BlackSuit.txt» у кожному каталозі, який вона перетинає. Після шифрування файлів він перейменовує їх, додаючи розширення «.BlackSuit».

Все, що ми знаємо про BlackSuit Ransomware

Підтверджене ім'я

Вірус BlackSuit

Тип загрози

програми-вимагачі
Криптовірус
Шафка для файлів
Подвійне вимагання

Розширення зашифрованих файлів

.чорний костюм

Повідомлення з вимогою викупу

Читайте також:Daixin Ransomware Group: повний посібник

README.BlackSuit.txt

Імена виявлення

AvastWin32:зловмисне програмне забезпечення
KasperskyHEUR:Trojan-Ransom.Win32.Generic
СофосMal/Generic-S (PUA)
MicrosoftВикуп: Win32/BlackSuit.B

Методи розповсюдження

Інфіковані вкладення електронної пошти (макроси)
Торрент сайти
Шкідлива реклама
Трояни

Наслідки

Файли зашифровані та заблоковані до виплати викупу
Витік даних
Подвійне вимагання

Варіант Windows

32-розрядні версії Windows сімейств програм-вимагачів BlackSuit і Royal мають 93,2% подібності у функціях, 99,3% схожість у базових блоках і 98,4% у стрибках на основі BinDiff.
BlackSuit і Royal використовують AES OpenSSL для шифрування та подібні методи періодичного шифрування.

Варіант Linux

Варіант програми-вимагача BlackSuit для Linux — це 64-розрядний виконуваний файл ELF, скомпільований за допомогою GCC із sha256 як 1c849adcccad4643303297fb66bfe81c5536be39a87601d67664af1d14e02b9e.
Варіанти Royal і BlackSuit для Linux мають 98% схожість у функціях, 99,5% схожість у блоках і 98,9% схожість у стрибках на основі інструменту порівняння BinDiff.

Чи є безкоштовний дешифратор?

немаєНаразі не існує загальнодоступного дешифратора для програм-вимагачів BlackSuit.

Що таке програми-вимагачі BlackSuit?

Індикатори компрометації (IOC) – це артефакти, спостережувані в мережі або в операційній системі, які з високою достовірністю вказують на комп’ютерне вторгнення. IOC можна використовувати для раннього виявлення майбутніх спроб атак за допомогою систем виявлення вторгнень і антивірусного програмного забезпечення. Зараження програмою-вимагачем BlackSuit може не проявляти жодних помітних симптомів, доки не з’явиться сповіщення про викуп. Однак ось деякі симптоми, які можуть свідчити про зараження програмою-вимагачем BlackSuit:

Файли неможливо відкрити або отримати доступ, а їхні назви змінено, щоб включити розширення «.blacksuit».
Змінено шпалери робочого столу.
Записка про викуп під назвою «README.BlackSuit.txt» є в кожному каталозі.
У записці про викуп стверджується, що основні файли були зашифровані та збережені на безпечному сервері, а фінансові звіти, інтелектуальна власність, особисті файли та інші конфіденційні дані були скомпрометовані.
Жертва може отримати повідомлення з вимогою оплати в обмін на ключ дешифрування.

Якщо будь-який із цих симптомів присутній, рекомендується негайно вжити заходів, щоб запобігти подальшому пошкодженню та втраті даних. Звернення до експертів із видалення програм-вимагачів SalvageData надасть вам безпечну послугу відновлення даних і видалення програм-вимагачів після атаки.

Що міститься в записці BlackSuit про викуп

Записка про викуп, створена програмою-вимагачем BlackSuit, називається «README.BlackSuit.txt» і зберігається в кожному каталозі, який вона проходить. Замітка містить повідомлення від зловмисників, які стверджують, що важливі файли були зашифровані та збережені на безпечному сервері. У примітці також згадується, що фінансові звіти, інтелектуальна власність, особисті файли та інші конфіденційні дані були скомпрометовані. Зловмисники вимагають викуп в обмін на ключ дешифрування. Загалом, тон записки BlackSuit про викуп створений для того, щоб викликати у жертви відчуття терміновості та страху, змушуючи її виконати вимоги зловмисників. Зразок записки BlackSuit про викуп:

Як поширюється програма-вимагач BlackSuit

Поширені способи зараження системи програмним забезпеченням-вимагачем BlackSuit:

Інфіковані вкладення електронної пошти (макроси)

Кіберзлочинці можуть поширювати програми-вимагачі BlackSuit через вкладення електронної пошти, які містять заражені посилання або макроси.
Користувачі, які відкривають ці вкладення або вмикають макроси, можуть ненавмисно запустити програму-вимагач у своїй системі.

Торрент сайти

Програмне забезпечення-вимагач BlackSuit можна вбудовувати в торрент-файли, які зазвичай використовуються для завантаження та обміну файлами через однорангові мережі.
Коли користувачі завантажують і відкривають ці заражені торрент-файли, їхні системи можуть заразитися програмою-вимагачем.

Шкідлива реклама

Шкідлива реклама, також відома як шкідлива реклама, може використовуватися як метод розповсюдження програм-вимагачів BlackSuit.
Користувачі, які натискають ці оголошення, можуть бути перенаправлені на веб-сайти, які автоматично завантажують і встановлюють програми-вимагачі в їхній системі.

Трояни

Програми-вимагачі BlackSuit можуть бути доставлені через троянські програми, які є шкідливими програмами, які можуть завантажувати та встановлювати інші типи зловмисного програмного забезпечення, зокрема програми-вимагачі.
Трояни можуть поширюватися різними способами, такими як фішингові електронні листи, підроблені оновлення програмного забезпечення або скомпрометовані веб-сайти

Як працює програма-вимагач BlackSuit?

Програмне забезпечення-вимагач BlackSuit — це тип зловмисного програмного забезпечення, яке діє як загроза програмного забезпечення-вимагача, запобігаючи доступу жертв до своїх файлів шляхом їх шифрування. Важливо зауважити, що конкретна поведінка та функціональність програми-вимагача BlackSuit може відрізнятися в різних версіях або варіантах. Ось опис того, як зазвичай працює програма-вимагач BlackSuit:

Розподіл

Програмне забезпечення-вимагач BlackSuit поширюється різними методами, включаючи заражені вкладення електронної пошти, торрент-сайти, шкідливу рекламу та троянські програми.

виконання

Коли програма-вимагач заражає систему, вона починає процес шифрування. Він використовує функції API FindFirstFileW() і FindNextFileW() для перерахування файлів і каталогів у системі.

Шифрування

Програма-вимагач BlackSuit використовує надійний криптографічний алгоритм, наприклад Advanced Encryption Standard (AES), для шифрування цільових типів файлів. Зашифровані файли змінюються шляхом додавання розширення «.blacksuit» до їхніх оригінальних імен.

Записка про викуп

Після шифрування файлів програма-вимагач BlackSuit скидає нотатку про викуп під назвою «README.BlackSuit.txt» у кожному каталозі, який вона перетинає. Записка про викуп служить повідомленням від зловмисників, які вимагають викуп в обмін на ключ дешифрування.

Зміна шпалер робочого столу

Програма-вимагач BlackSuit також змінює шпалери робочого столу зараженої системи, показуючи повідомлення або зображення, пов’язані з атакою програм-вимагачів.

Втрата даних і вимагання

Без ключа дешифрування зашифровані файли стають недоступними та непридатними для використання. Зловмисники можуть погрожувати витоком або продажем скомпрометованих даних, якщо викуп не буде сплачено.

Не платіть викуп!Жертвам атак програм-вимагачів BlackSuit радимо повідомити про інцидент правоохоронні органи та звернутися за допомогою до авторитетного фахівця з кібербезпеки.

Як протистояти атаці програми-вимагача BlackSuit

Важливо:Першим кроком після визначення IOC BlackSuit є використання вашого Плану реагування на інциденти (IRP). В ідеалі у вас є Incident Response Retainer (IRR) із надійною командою професіоналів, з якими можна зв’язатися 24/7/365, і вони можуть негайно вжити заходів, щоб запобігти втраті даних, зменшити або скасувати виплату викупу та допомогти вам подолати будь-які юридичні зобов’язання. Наскільки нам відомо з інформацією, яку ми маємо на момент публікації цієї статті, перший крок, який зробила б команда експертів із відновлення програм-вимагачів, – це ізолювати зараженого комп’ютера, відключивши його від Інтернету та видаливши всі під’єднані пристрої. Одночасно ця команда допоможе вам зв’язатися з місцевою владою вашої країни. Для жителів США та підприємств цемісцевий офіс ФБРіЦентр скарг на злочини в Інтернеті (IC3). Щоб повідомити про атаку програм-вимагачів, ви повинні зібрати всю можливу інформацію про неї, зокрема:

Скріншоти записки про викуп
Комунікації з учасниками програм-вимагачів (якщо вони у вас є)
Зразок зашифрованого файлу

Однак, якщо у вас немає IRP або IRR, ви все одно можетезверніться до спеціалістів із видалення та відновлення програм-вимагачів. Це найкращий спосіб дій, який значно підвищує шанси на успішне видалення програми-вимагача, відновлення даних і запобігання майбутнім атакам. Рекомендуємо вамзалишити кожну заражену машину як єі подзвонитислужба екстреного відновлення програм-вимагачів.Перезапуск або завершення роботи системи може поставити під загрозу процес відновлення. Захоплення оперативної пам’яті живої системи може допомогти отримати ключ шифрування, а перехоплення файлу дроппера може бути піддано зворотній інженерії та призведе до дешифрування даних або розуміння того, як він працює.

Чого НЕ робити, щоб одужати від атаки програм-вимагачів BlackSuit

Ви повинніне видаляти програму-вимагач, і зберігати всі докази нападу. Це важливо дляцифрова криміналістикащоб експерти могли відстежити хакерську групу та ідентифікувати їх. Органи влади можуть використовувати дані вашої зараженої системирозслідувати напад і знайти відповідальних.Розслідування кібератак не відрізняється від будь-якого іншого кримінального розслідування: воно потребує доказів, щоб знайти зловмисників.

1. Звернення до постачальника послуг реагування на інциденти

Реагування на кіберінциденти — це процес реагування на інциденти кібербезпеки та управління ними. Incident Response Retainer — це угода про надання послуг із постачальником кібербезпеки, яка дозволяє організаціям отримувати зовнішню допомогу щодо інцидентів кібербезпеки. Він надає організаціям структуровану форму експертних знань і підтримки через партнера з безпеки, що дозволяє їм швидко й ефективно реагувати під час кіберінциденту. Фіксатор реагування на інцидент забезпечує спокій для організацій, пропонуючи експертну підтримку до та після інциденту кібербезпеки. Специфічний характер і структура служби реагування на інциденти залежатимуть від постачальника та вимог організації. Хороший механізм реагування на інциденти має бути надійним, але гнучким, надавати перевірені послуги для підвищення довгострокової безпеки організації.Якщо ви звернетеся до свого постачальника ІЧ-послуг, він подбає про все інше.Однак якщо ви вирішите видалити програму-вимагач і відновити файли разом зі своєю командою ІТ, ви можете виконати наступні кроки.

2. Визначте зараження програмою-вимагачем

Ви можетевизначити програму-вимагачзаразили ваш комп’ютер за розширенням файлу (деякі програми-вимагачі використовують розширення файлу як своє ім’я), або він буде вказаний у примітці про викуп. Маючи цю інформацію, ви можете шукати відкритий ключ дешифрування. Ви також можете перевірити тип програми-вимагача за її IOC. Індикатори компрометації (IOC) — це цифрові підказки, які фахівці з кібербезпеки використовують для виявлення компрометації системи та зловмисної діяльності в мережі чи ІТ-середовищі. По суті, це цифрові версії доказів, залишених на місці злочину, і потенційні IOC включають незвичайний мережевий трафік, привілейовані входи користувачів з інших країн, дивні запити DNS, зміни системних файлів тощо. Коли IOC виявляється, групи безпеки оцінюють можливі загрози або перевіряють його автентичність. IOC також надають докази того, до чого мав доступ зловмисник, якщо він проник у мережу.

3. Видаліть програми-вимагачі та ліквідуйте набори експлойтів

Перш ніж відновлювати свої дані, ви повинні переконатися, що ваш пристрій вільний від програм-вимагачів і що зловмисники не зможуть здійснити нову атаку за допомогою наборів експлойтів або інших уразливостей. Служба видалення програм-вимагачів може видалити програму-вимагач, створити документ криміналістики для дослідження, усунути вразливості та відновити ваші дані. Використовуйте програмне забезпечення для захисту від зловмисних програм/програм-вимагачів, щоб помістити в карантин і видалити шкідливе програмне забезпечення.

Важливо:Звернувшись до служб видалення програм-вимагачів, ви можете переконатися, що на вашій машині та в мережі немає слідів програм-вимагачів BlackSuit. Крім того, ці служби можуть виправляти вашу систему, запобігаючи новим атакам програм-вимагачів.

4. Використовуйте резервну копію для відновлення даних

Резервне копіювання є найефективнішим способом відновлення даних. Обов’язково зберігайте щоденні або щотижневі резервні копії, залежно від використання даних.

5. Зверніться до служби відновлення програм-вимагачів

Якщо у вас немає резервної копії або вам потрібна допомога з видаленням програми-вимагача та усуненням уразливостей, зверніться до служби відновлення даних. Сплата викупу не гарантує повернення ваших даних. Єдиний гарантований спосіб відновлення кожного файлу – це наявність його резервної копії. Якщо ви цього не зробите, служби відновлення даних програм-вимагачів можуть допомогти вам розшифрувати та відновити файли. Експерти SalvageData можуть безпечно відновити ваші файли та запобігти повторній атаці програм-вимагачів BlackSuit на вашу мережу. Зв’яжіться з нашими експертами цілодобово та без вихідних, щоб отримати послугу екстреного відновлення.

Запобігайте атаці програм-вимагачів

Запобігання програмам-вимагачам є найкращим рішенням для безпеки даних. легше і дешевше, ніж відновлюватися після них. Програмне забезпечення-вимагач BlackSuit може коштувати майбутнього вашому бізнесу та навіть закрити його двері. Ось кілька порад, які допоможуть вамуникайте атак програм-вимагачів:

Використовуйте надійне антивірусне програмне забезпечення.Встановіть і регулярно оновлюйте надійне антивірусне програмне забезпечення у своїй системі. Це може допомогти виявити та заблокувати відомі загрози програм-вимагачів, зокрема BlackSuit.
Будьте обережні з вкладеннями електронної пошти.Будьте обережні, відкриваючи вкладення електронної пошти, особливо якщо вони надходять із невідомих або підозрілих джерел. Уникайте відкриття вкладень, яких ви не очікували або які здаються підозрілими.
Будьте обережні з підозрілими посиланнями.Уникайте натискання підозрілих посилань, особливо в електронних листах, у спливаючих оголошеннях або на незнайомих веб-сайтах. Ці посилання можуть вести на шкідливі веб-сайти, які можуть поширювати програмне забезпечення-вимагач, наприклад BlackSuit.
Підтримуйте свою операційну систему та програмне забезпечення в актуальному стані.Регулярно оновлюйте свою операційну систему, веб-браузери та інші програми. Оновлення програмного забезпечення часто включають виправлення безпеки, які можуть допомогти захистити від відомих уразливостей, які можуть використовувати програми-вимагачі.
Увімкніть автоматичне оновлення.Увімкніть автоматичне оновлення вашої операційної системи та програм. Це гарантує, що ви отримаєте найновіші виправлення безпеки та оновлення без ручного втручання.
Регулярно створюйте резервні копії файлів.Регулярно створюйте резервні копії важливих файлів на зовнішній жорсткий диск, хмарне сховище або інше безпечне місце. У разі атаки програм-вимагачів наявність резервних копій може допомогти вам відновити файли без необхідності платити викуп.
Навчайте себе та своїх співробітників.Навчіть себе та своїх співробітників безпечним онлайн-практикам, таким як уникнення підозрілих завантажень, обережність із вкладеннями електронної пошти та розпізнавання спроб фішингу. Обізнаність і пильність можуть допомогти запобігти зараженню програмами-вимагачами.

Дотримуючись цих профілактичних заходів, ви можете зменшити ризик зараження вашої системи програмою-вимагачем BlackSuit і захистити ваші файли від шифрування.