据BleepingComputer网站报道，安全研究团队MalwareHunterTeam发现了一个新的勒索软件——ALPHV 。研究人员认为，这可能是今年最复杂的勒索软件，具有高度可定制的功能集，允许对各种企业环境进行攻击。

ALPHV首次发现时间是在今年11月，当时该软件正在某俄语黑客论坛上进行推广。ALPHV的可执行文件采用Rust 编写，这对于恶意软件开发人员来说并不常见，但由于其高性能和内存安全性，正越发受到青睐。

MalwareHunterTeam也将ALPHV命名为BlackCat，因为在Tor 支付站点都使用了相同的黑猫图标，而数据泄露站点使用了一把滴血的匕首。

Tor 支付和数据泄露站点上使用的图标

与其它所有勒索软件即服务 (RaaS) 操作一样，ALPHV开发者通过招募运营公司来执行犯罪行为。作为回报，这些公司可依据赎金的大小获得相应的分成，分成比重在80%到90%不等。

ALPHV勒索软件的功能

ALPHV 能从其他勒索软件操作中脱颖而出，就在于包括了众多高级功能。

ALPHV完全由命令行驱动，由人工进行操作，且高度可配置，能够使用不同的加密程序在计算机之间传播，能终结虚拟机和ESXi虚拟机，并自动擦除ESXi快照以防止恢复。

可以使用--help命令行参数找到这些可配置选项。

ALPHV勒索软件命令行参数

每个ALPHV勒索软件可执行文件都包括一个JSON配置，允许自定义扩展、赎金说明、数据如何加密、隐藏文件夹/文件/扩展，以及自动终止的服务和进程。根据发布者在黑客论坛上的描述，ALPHV没有使用任何模板或之前泄露的其他勒索软件的源代码，可以配置为使用五种不同的加密模式：

Full：全文件加密。最安全，最慢。

Fast： 加密前 N 兆字节。不推荐使用，这是最不安全的解决方案，但速度最快。

DotPattern：通过M 步加密 N 兆字节。如果配置不正确，Fast 的速度和加密强度都会变差。

Auto：根据文件的类型和大小，存储器（在 windows 和 * nix / esxi 上）选择最优的（在速度/安全性方面）处理文件策略。

-SmartPattern - 以百分比步长加密 N 兆字节。默认情况下，它从文件头开始每 10% 加密 10 MB。这是速度/密码强度比的最佳模式。

两种加密算法：

ChaCha20

AES

在自动模式下，软件会检测是否有AES硬件支持（存在于所有现代处理器中）并使用它。如果没有AES支持，软件会对文件进行ChaCha20加密。

ALPHV还可以配置域凭据，用于传播勒索软件和加密网络上的其他设备。之后，可执行文件会将 PSExec 提取到 %Temp% 文件夹，使用它将勒索软件复制到网络系统中的其他设备，并对这些设备远程加密。

在启动勒索软件时，附属公司可以使用基于控制台的用户界面，让他们能够监控攻击的进展。下图显示了使用修改后的可执行文件附加.bleepin扩展名加密一个测试设备时的进度页面。

正在加密计算机的进度页面

在测试的样本中，ALPHV会终止可能阻止文件被加密的进程和 Windows 服务，包括 Veeam、备份软件、数据库服务器、Microsoft Exchange、Office 应用程序、邮件客户端以及游戏玩家喜爱的Steam。在此过程中ALPHV还会清除回收站、删除卷影副本、扫描并连接到其他网络设备。

通常，在加密设备时，勒索软件会使用随机扩展名，该扩展名会附加到所有文件并包含在勒索信中。赎金票据以“ RECOVER-[extension]-FILES.txt”格式命名，赎金票据由执行攻击的运营公司预先配置，并且对于每个受害者都不同。一些赎金记录包括被盗数据的类型以及指向 Tor 数据泄漏站点的链接，受害者可以在其中预览被盗数据。每个受害者还有一个独特的 Tor 站点，有时还有一个独特的数据泄漏站点，允许运营公司进行一对一谈判。

ALPHV还声称支持多种操作系统，包括：

Windows 7 及更高版本系列（在 7、8.1、10、11；2008r2、2012、2016、2019、2022 上测试）；XP 和 2003 可以通过 SMB 加密。

ESXI（在 5.5、6.5、7.0.2u 上测试）

Debian（在 7、8、9 上测试）；

Ubuntu（在 18.04、20.04 上测试）

ReadyNAS、Synology

勒索软件专家和 ID 勒索软件创建者迈克尔·吉莱斯皮分析了勒索软件使用的加密程序，但未能找到任何可以免费解密的弱点。

访问令牌功能使谈判保密

一般而言，受害者在和勒索方进行谈判时，谈判信息有时会通过恶意软件分析站点泄露，对最终谈判结果构成影响。为了防止这种情况，ALPHV引入了一个在启动加密器时强制开启的命令行参数--access-token=[access_token]。该访问令牌用于创建所需的访问密钥，以进入该勒索软件Tor支付网站上的谈判。由于这个令牌不包括在恶意软件样本中，即使它被上传到恶意软件分析网站，如果没有实际攻击的赎金票据，研究人员也不会用它来访问谈判网站。

ALPHV Tor 支付网站

赎金从 40 万美元到数百万美元不等

据了解，自11月以来，ALPHV已对多个国家和地区发起了攻击，他们对受害者提出的赎金要求在40万美元到300万美元不等，可使用比特币或门罗币支付，但如果受害者使用比特币支付，还会额外收取15%的费用。由于门罗币被认为是一种隐私币且被美国政府禁止，一些受害者并不太容易能使用门罗币支付。

此外，ALPHV不接受受害者雇佣谈判公司进行谈判，否则会威胁删除数据或者故意将数据泄露，ALPHV强调更加直接的私人谈判。

总体而言，ALPHV一种高度复杂的勒索软件，攻击者清楚地考虑了攻击实施前后的各个方面。随着著名的BlackMatter 和 REvil 等在执法部门的打击下逐渐销声匿迹，勒索软件市场形成了大片空白，而ALPHV很可能就是填补这块空白的最佳候选者。

参考来源：https://www.bleepingcomputer.com/news/security/alphv-blackcat-this-years-most-sophisticated-ransomware/