详细内容或原文请订阅后点击阅览

新兴勒索软件 BQTLock 和 GREENBLOOD 在几分钟内扰乱业务

2026年2月11日 07:51 33 Comments
X Twitter Instagram Mail

您的团队需要多长时间才能意识到勒索软件已经在运行?新发现的勒索软件系列已经造成了真正的业务中断。这些威胁可以快速扰乱运营,同时还通过隐形或清理活动降低可见性,从而缩短团队检测和遏制攻击的时间。以下是您应该了解的有关 BQTLock 和 GREENBLOOD 的信息,以及您的团队如何在 [...]新兴勒索软件 BQTLock 和 GREENBLOOD 在几分钟内扰乱业务的帖子首次出现在 ANY.RUN 的网络安全博客上之前检测和遏制它们。

来源:ANY.RUN _恶意软件分析

新兴勒索软件 BQTLock 和 GREENBLOOD 在几分钟内扰乱企业

您的团队需要多长时间才能意识到勒索软件已经在运行?

新发现的勒索软件系列已经造成了真正的业务中断。 这些威胁可以快速扰乱运营,同时还会通过隐形或清理活动降低可见性,从而缩短团队检测和遏制攻击的时间。

以下是您应该了解的有关 BQTLock 和 GREENBLOOD 的信息,以及您的团队如何在影响升级之前检测和遏制它们。

TL;DR

  • BQTLock 是一个隐秘的勒索软件链接链。它将 Remcos 注入 explorer.exe,通过 fodhelper.exe 执行 UAC 绕过,并设置自动运行持久性以在重新启动后保持较高的访问权限,然后转变为凭据盗窃/屏幕捕获,将事件转变为勒索软件 + 数据泄露风险。
  • GREENBLOOD 是一款基于 Go 的勒索软件,旨在快速产生影响:基于 ChaCha8 的加密可以在几分钟内中断操作,随后会进行自我删除/清理尝试以降低取证可见性,再加上 TOR 泄漏站点压力,以增加恢复之外的勒索手段。
  • 在这两种情况下,关键窗口是预加密/早期执行:隐形设置 (BQTLock) 和快速加密 (GREENBLOOD) 可以压缩响应时间并快速提高成本。
  • ANY.RUN 交互式沙箱中的行为优先分类可让团队在执行期间确认关键操作(进程注入、UAC 绕过、持久性、加密、自删除),立即提取 IOC,并转向威胁情报查找(例如,命令行:“greenblood”)以更快地查找相关运行/变体并强化检测。

    • BQTLock:一种升级为数据盗窃和业务风险的隐形攻击

    LinkedIn 上的原始帖子

    BQTLock 是一种与勒索软件相关的威胁,旨在隐藏在正常的系统活动中、获得更高的权限,并在防御者做出反应之前悄悄地为更深层次的影响做好准备。

    如何通过行为分析揭示攻击

    查看 BQTLock 的完整执行链

    关于 ANY.RUN

    勒索 执行 提高 低可见性 防御者 隐形 真正的 删除 持久性 软件 交互式 高成本 威胁 键操作 检测 权限 GREENBLOOD 正常的 团队 相关的 查找 BQTLock exe 运行 可见性 加密 ANY UAC 响应时间 攻击 行为