深信服深盾终端实验室在近期的运营工作中，通过分析发现BlackStore勒索病毒从其战术点及技术点来看均与Proxima勒索软件存在较大的关联，而Proxima勒索软件从诞生之日起已衍生出众多变种，包含BlackShadow、Cylance、Merlin等，该家族可能会攻击俄罗斯国家的组织。

ATT&CK

功能分析：

样本启动后，会加密系统中的文件，并释放勒索信以诱使受害者通过勒索信中的联系方式与攻击者进行沟通及缴纳赎金，被加密文件添加扩展“.BlackStore”，勒索信文件名“BlackStore_Help.txt”，勒索信中展示受害者可以通过受害者ID和邮箱与攻击者取得联系，其中勒索信中并未表明赎金金额及支付方式。

勒索程序执行后系统文件系统如下所示：

BlackStore_Help.txt勒索信内容如下所示：

主要功能如下所示：

隐藏控制台窗口，从而可以在后台运行病毒程序，避免被发现。

获取当前进程的访问令牌并启用进程的如下特权，通过调整病毒进程的权限，从而获取更高的权限，以便后续执行危险的操作：

该病毒可以添加如下命令行参数：

创建互斥量Global\\BlackStoreMutex，避免勒索程序重复运行，从而导致数据被重复加密或者系统崩溃。

创建计划任务”Windows Update BETA”，使用ShellExecuteW执行创建计划任务的命令，借以可以实现系统每次启动时重新运行勒索程序。

将无权限操纵的文件及遍历的时间，写入文件名为Black.dll，实则为文本文件的日志文件，文件目录为桌面。

设置当前进程的优先级为“高”并且禁用系统关闭时的弹窗提示。

清空回收站，避免受害者从回收站中恢复自己曾经删除的文件。

使用WMI查询Win32_ShadowCopy类来获取系统中所有的卷影并删除。

通过枚举系统中所有的驱动器，找到未被挂载的卷，然后将其挂分配到一个可用的盘符。因为在计算机系统中，用户无法访问未被分配盘符的存储设备。

设置勒索程序执行后是否对系统执行关机或重启操作，从而中断合法用户对计算机资源的访问，同时也会妨碍安全人员事件响应和溯源工作。

该函数的主要作用是在程序运行时删除自身，通过调用 ShellExecuteW 函数打开 cmd.exe，在后台执行一个 ping 命令，等待 5 秒钟，然后删除当前程序的可执行文件。

在C:\ProgramData目录下创建文件Brlg.sys，并使用cmd.exe执行该文件，清除可用磁盘空间。

删除当前进程的可执行文件，并且命令行参数可以选择重启或关闭计算机。

该函数首先创建了一个名为“Global\FSWiper”的互斥体，然后获取系统信息，包括CPU数量和逻辑驱动器信息。接着，代码使用GetLogicalDrives函数获取逻辑驱动器的位掩码，并遍历每个驱动器。如果驱动器存在，则创建一个线程来删除该驱动器上的文件。每个线程都将文件名作为参数传递给StartAddress函数。如果创建的线程数等于处理器数量，则等待所有线程完成。完成后，代码释放内存并退出进程。

程序内置“hardcore blowjob”单词，目的未知。

该勒索软件使用ChaCha20/8与Curve25519结合的加密算法对文件执行加密操作。使用BCryptGenRandom函数生成32byte的私钥.使用Curve25519椭圆曲线Diffie-Hellman（ECDH）密钥交换协议，通过生成的私钥计算内置与勒索程序中的32byte的公钥，从获取到的公钥中计算SHA256哈希值，将其作为ChaCha20/8加密算法的密钥。使用ChaCha20/8流密码算法对数据进行加密。

避免加密的文件目录

Drive File Stream|Windows|DriveFS|Microsoft 

OneDrive|$Windows.~bt|$windows.~ws|windows.old|windows nt|All 

Users|Boot|Intel|PerfLogs|System Volume 

Information|MSOCache|$RECYCLE.BIN|Default|Config.Msi|tor 

browser|microsoft|google|Microsoft Visual Studio 16.0|Anydesk|WindowsApps|Windows 

Defender|AVG|Mozilla Firefox|Comms|Package 

Cache|SoftwareDistribution|USOPrivate|USOShared|qmlcache|Opera Software|Mozilla|MicrosoftHelp|Foxit

Reader|ESET|yapin|YandexBrowser|Yandex.Telemost|Yandex.Notes|Yandex.Disk.2|SearchBand|BrowserManager|RaiDrive|KasperskyLab|YandexDisk2|Kerio|VPN Client|WindowsPhotoViewer|Windows Portable Devices|WindowsPowerShell|Windows 

Sidebar|Microsoft.NET|Web Components|Reference Assemblies|Radmin Viewer 3|MSBuild|Internet Explorer|AVAST 

Software|InstallShield Installation Information|Foxit Software|Microsoft Analysis Services|Uninstall Information|EPSON Software|DVD 

Maker|Cisco|Microsoft Visual Studio 8|KMSAutoS|radmin|JC-WebClient|KMSAuto|Windows 

Journal|MegaRAID Storage Manager|Microsoft SDKs|Opera

避免加密的文件扩展

386|adv|ani|bat|cab|cmd|com|cpl|cur|deskthemepack|diagcab|diagcfg|diagpkg|dll|drv|exe|hlp|icl|icns|ico|ics|idx|ldf|lnk|mod|mpa|msc|msp|msstyles|msu|nls|nomedia|ocx|prf|ps1|rom|rtp|scr|shs|spl|sys|theme|themepack|wpx|lock|hta|msi|pdb|search-ms|BlackStore

避免加密的文件名

ntldr|ntuser.dat|bootsect.bak|ntuser.dat.log|autorun.inf|thumbs.db|iconcache.db|bootfont.bin|boot.ini|desktop.ini|ntuser.ini|bootmgr|BOOTNXT|YandexDisk2.exe|rdp|BlackStore_Help.txt|Brlg.sys|Black.dll|B.bmh

默认情况下对包含如下后缀的文件执行加密操作

4dd|4dl|accdb|accdc|accde|accdr|accdt|accft|adb|ade|adf|adp|arc|ora|alf|ask|btr|bdf|cat|cdb|ckp|cma|cpd|dacpac|dad|dadiagrams|daschema|db-shm|db-wal|db3|dbc|dbf|dbs|dbt|dbv|dbx|dcb|dct|dcx|ddl|dlis|dp1|dqy|dsk|dsn|dtsx|dxl|eco|ecx|edb|epim|exb|fcd|fdb|fic|fmp|fmp12|fmpsl|fol|fp3|fp4|fp5|fp7|fpt|frm|gdb|grdb|gwi|hdb|his|idb|ihx|itdb|itw|jet|jtx|kdb|kexi|kexic|kexis|lgc|lwx|maf|maq|mar|mas|mav|mdb|mdf|mpd|mrg|mud|mwb|myd|ndf|nnt|nrmlib|ns2|ns3|ns4|nsf|nv2|nwdb|nyf|odb|oqy|orx|owc|p96|p97|pan|pdm|pnz|qry|qvd|rbf|rctd|rod|rodx|rpd|rsd|sas7bdat|sbf|scx|sdb|sdc|sdf|sis|spq|sql|sqlite|sqlite3|sqlitedb|temx|tmd|tps|trc|trm|udb|udl|usr|v12|vis|vpd|vvv|wdb|wmdb|wrk|xdb|xld|xmlff|abcddb|abs|abx|accdw|adn|db2|fm5|hjt|icg|icr|lut|maw|mdn|mdt|ibd|zip|back|bak|backup|tar|rar|xls|xlsx|diff|zip1

避免终止的进程名

nativeproxy|googledrivesync|AnyDesk|TeamViewer|Yandex|googledrive|OneDrive|DropBox|GoogleDriveFS|Radmin

通过上述避免加密的文件名和文件目录中包含Kaspersky和Yandex推测，该勒索软件的目标群体可能是安装Kaspersky或Yandex的俄罗斯国家的用户。因为Kaspersky和Yandex是俄罗斯的知名公司，拥有广泛的用户群体和影响力，该勒索家族可能希望避免引起俄罗斯当局的过度关注和反击。同时通过避免加密这些公司的相关文件，也可以减少他们被发现和追踪的风险。

勒索信

d6d2674f15c707066f1197bdf524a490

勒索样本

a7f0dd0cb9991516f790ec44755409b5

48ca1a9e90362efaa21bd255edde92c0

释放的文件

ab65af4349e7c5b0872c8b808d036980

1. 为本地和域账户设置强密码策略，定期更改账号密码

2. 及时更新操作系统和软件，使用杀毒软件定期查杀。

【深信服统一端点安全管理系统aES】

已支持查杀拦截此次事件使用的病毒文件，aES全新上线“动静态双AI引擎”，静态AI能够在未知勒索载荷落地阶段进行拦截，动态AI则能够在勒索载荷执行阶段进行防御，通过动静态AI双保险机制可以更好地遏制勒索蔓延。不更新也能防护；但建议更新最新版本，取得更好防护效果。