最近出现多家公司找我咨询,他们所在公司的服务器都感染了.blm后缀勒索病毒,中毒后,服务器上的所有文件都被加密锁定,没办法正常打开使用,而且文件名也被篡改成. blm后缀,导致公司业务无法正常开展,影响较大。经与他们紧密沟通及进行文件检测,根据检测的结果,我向他们提供了相应的解决方案建议,已有公司按照解决方案的建议顺利完成了文件数据的恢复工作。
对于这个. blm后缀勒索病毒究竟是什么来头?是通过什么方式传播感染的?如何预防和中毒后如何救援?让我们来一起进行了解。
什么是.blm后缀勒索病毒?
Blm勒索病毒是属于广为人知的Dharma 勒索病毒家族的恶意软件,于2020年9月投入使用。它与其他类似物类似,因为它使用AES + RSA算法加密用户数据。如果受害者想要恢复文件,则该病毒需要以比特币货币赎金才能解密。
Blm勒索病毒会加密各种文件:图片,视频,音频记录,文档等。在加密过程中,所有受感染的文件都会获得新的.Blm扩展名,并且用户无法打开其中的任何文件。
加密完成后,受害者不仅会获得一个名为“ FILES ENCRYPTED.txt”的文本文件,还会看到一个弹出窗口,据称这可能使他们重新获得对文件的访问权。
名称 |
blm勒索病毒 |
家庭 |
Dharma 家族 |
类型 |
文件锁定病毒,加密病毒,勒索病毒 |
分配 |
该恶意软件来自垃圾邮件,受感染的电子邮件附件,torrent网站,恶意广告等。 |
问题 |
该病毒使用加密算法锁定受感染设备上的所有个人数据。受害者无法打开任何加密文件,网络犯罪分子要求支付赎金以进行解密 |
文件扩展名 |
每个文件都有.Blm扩展名。它们已加密,未经解密就无法打开或使用 |
.blm后缀勒索病毒是如何传播感染的?
该病毒一经安装即可开始工作。像其他这种性质的病毒一样,感染始于信息收集。本地信息收集模块会扫描计算机和硬盘驱动器上安装的应用程序以加密文件。它还在计算机的硬件组件上收集数据。***可以看到该信息,***可以使用它来了解有关受害者的更多信息并为其分配唯一的ID。
BLM勒索病毒可能具有安全旁路组件,该组件使它可以绕过计算机上的防病毒软件和反恶意软件。它可以绕过***检测系统,防火墙,防病毒程序等。根据感染的性质,旁路功能可以是活动的或不活动的。
已知Dharma家族成员会在目标计算机上安装其他安全威胁,从而通过特洛伊***感染来传递链条感染。这些病毒使主机计算机连接到服务器,以下载其他感染模块,从而使***可以控制系统。
BLM的主要有效载荷是勒索病毒组件。该组件使用密码对主机计算机上的数据进行加密。该病毒使用内置的文件扩展名列表来查找要加密的文件。处理后的文件带有“ .BLM”文件扩展名,以使它们不可访问。受害者被勒索,并被勒索赎金以获取解密所需的工具。
目前尚不清楚谁是BLM病毒的幕后黑手。该病毒可能使用与其他Dharma勒索病毒相同的感染媒介和***方法。浏览受害者的各种报告后,发现了以下***策略;
网络钓鱼电子邮件
通常,网络钓鱼电子邮件是勒索病毒和病毒最常见的感染方法之一。***将数百条消息发送到随机电子邮件。这些电子邮件的外观看起来合法,但链接和附件遭到破坏。用户与电子邮件进行交互,并在此过程中感染其计算机。
有效载荷文件传递
该病毒的代码可以注入到其他文件中。这些文件是由毫无戒心的用户从Internet下载的。感染宏的文档和电子表格是标准的有效负载传递方法。创建这些文档是为了与Office兼容,并诱使用户激活宏(内置脚本)以正确查看文件上的内容。一种这样的脚本会将病毒安装在计算机上。另一种选择是创建受感染的程序安装程序。这些安装程序是安装病毒代码的可执行文件,可以伪装成免费软件程序或软件更新。
互联网服务和网站
BLM的安装文件可以上载到不同的下载门户和在线社区,包括聊天室,论坛和社交媒体。***还可以使用假的和被盗的帐户发布链接,以使其看起来更加合法并欺骗用户。
除了这些感染方法之外,BLM勒索病毒还使用许多与其他病毒相同的技术,例如***安装。
如何保护自己免受.blm后缀勒索病毒感染?
最常见的加密病毒分发方法是垃圾邮件活动,特洛伊***,伪造的更新程序和恶意下载渠道,非法激活工具(“漏洞”)。其中,垃圾邮件运动是网络罪犯最常用的传递技术。在此活动中,***向数个用户发送了数千封虚幻邮件。这些虚假邮件中包含恶意的附件或链接。恶意文件具有多种格式,例如存档,可执行文件,Microsoft Office或PDF文档等。一旦人们运行,执行或打开它们,感染过程就会开始。
避免此类***的提示:
为防止这种情况,您应该忽略从未知发件人收到的可疑电子邮件,并且永远不要打开其附件。旨在传播勒索病毒的邮件通常被伪装成“重要”或“关键”或属于某个知名公司。但是,它们包括恶意,执行时会导致病毒***。此外,切勿使用第三方更新程序和非法激活工具(“裂纹”)。不要忘记安装信誉良好的反恶意软件程序,并不断对其进行更新。
中了.blm文件后缀的Dharma家族勒索病毒文件怎么恢复?
此类勒索病毒属于:Dharma家族,此后缀文件的修复成功率大概在90%~99%之间。
1.如果文件不急需,可以先备份等***被抓或良心发现,自行发布解密工具
2.如果文件急需,可以添加服务号(shujuxf),发送文件样本进行免费咨询数据解密恢复方案。
预防勒索病毒-日常防护建议
预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:
1.多台机器,不要使用相同的账号和口令,以免出现“一台沦陷,全网瘫痪”的惨状;
2.登录口令要有足够的长度和复杂性,并定期更换登录口令;
3.严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。
4.及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。
5.关闭非必要的服务和端口如135、139、445、3389等高危端口。
6.备份备份备份!!!重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份,对于涉及到机密或重要的文件建议选择多种方式来备份;
7.提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件;
8.安装专业的安全防护软件并确保安全监控正常开启并运行,及时对安全软件进行更新。