关于防范BlackLock勒索病毒的风险提示

 近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现一种跨平台的勒索病毒BlackLock，其通过“加密数据+威胁泄露”的双重勒索模式，对政府、教育、制造等多行业用户开展攻击，可能导致数据泄露、业务中断等风险。

    BlackLock是一种采用Go语言开发的勒索病毒，最早出现于2024年3月，最初以“El Dorado”为名活动，后更名为BlackLock。该勒索病毒可攻击Windows、Linux及VMware ESXi环境，覆盖企业服务器、虚拟化平台及网络共享设备。BlackLock一般通过钓鱼攻击、漏洞利用等方式渗透目标系统，利用WMI（Windows管理规范）远程执行命令删除卷影副本以阻断系统恢复，同时通过PowerShell脚本禁用Windows Defender等安全防护，并将该病毒扩散至内网其他设备。在数据窃取与加密时，BlackLock先通过内置工具扫描并窃取敏感文件，再使用XChaCha20流密码对文件进行加密，为每个文件生成唯一FileKey（文件密钥）和Nonce（随机数），并通过ECDH椭圆曲线加密算法保护解密密钥。此外，BlackLock支持命令行参数（如-path指定加密路径、-perc控制加密比例、-sort优先加密重要文件夹）实现灵活攻击，最终在受感染目录生成HOW_RETURN_YOUR_DATA.TXT文件，要求支付赎金以换取解密密钥。

    建议相关单位和用户立即组织排查，及时更新防病毒软件，实施全盘病毒查杀，禁用不必要的端口，开展员工网络安全意识培训，并可通过及时修复安全漏洞、定期备份数据等措施，防范网络攻击风险。