文章总结： BlackShrantac勒索软件自2025年11月出现，两个月内已攻击全球30余家企业，采用加密加窃取的双重勒索策略，通过Tor与Tox匿名通信，亚信安全已发布检测方案，企业需强化身份验证、漏洞管理、备份与培训构建纵深防御。 综合评分： 82 文章分类： 勒索软件,应急响应,威胁情报,漏洞预警,安全建设

Black Shrantac勒索闪电来袭，两个月攻破30+企业防线

应急响应中心 应急响应中心

亚信安全

2026年1月16日 16:38 北京

Black Shrantac是2025年11月首次被捕获的新型勒索软件，其主要攻击目标为Windows系统。该软件实施“双重勒索”：一方面加密数据，另一方面窃取数据并威胁公开，以此胁迫受害者支付赎金。2025年12月，澳大利亚墨尔本某科技公司遭受其攻击，这标志着该威胁已进入实际危害阶段。

核心攻击摘要

• 活跃时间：2025年11月首次捕获，12月发生实际攻击事件。
• 攻击目标：已涉及全球至少30多起攻击，包括澳大利亚某科技公司。
• 加密特征：将文件重命名为随机字符并附加.shrt扩展名，更改桌面壁纸，并生成shrt.readme.txt勒索信。
• 勒索策略：典型的“双重勒索”：加密文件并窃取数据，威胁不支付赎金将公开泄露数据。

详细攻击链分析

01

文件加密与标记

• 加密行为：Black Shrantac会加密受害者的文件。加密后，它会将原始文件名替换为一串随机字符，并附加特定的.shrt扩展名。
• 系统篡改：加密完成后，该勒索软件会更改受害者的桌面壁纸，并在系统中生成一个名为shrt.readme.txt的勒索信文本文件，宣告攻击成功。

02

勒索信内容与勒索策略

勒索信内容体现了现代勒索软件团伙成熟的胁迫手段：

Black Shrantac勒索信

• 双重勒索威胁：明确告知受害者其文件已被加密且数据已被窃取。如果未支付赎金，攻击者威胁将公开泄露或出售这些数据。
• “商业交易”伪装：将勒索包装成一种商业谈判，提出以比特币支付赎金，并允许受害者提交2-3个文件以“测试”解密能力，以此增加“可信度”。
• 施加心理压力：警告受害者不要尝试重命名加密文件或重启系统，声称此类操作可能导致数据永久损坏。同时，强调必须使用提供的凭证（可能存在于勒索信或泄露站点上）才能进入谈判环节。
• 匿名化通信：指示受害者通过Tor网络访问特定门户或使用Tox等加密即时通讯工具进行联系，以隐藏行踪。

03

技术特征（TTPs）

亚信安全解决方案

亚信安全病毒码版本20.687.60，云病毒码版本20.687.71，全球码版本20.687.00 已经可以检测该勒索，并将其命名为Ransom.Win64.BLACKSHRANTAC.SMPI。

总结

Black Shrantac勒索软件展现了2025年勒索攻击的典型特征：结合数据加密与泄露威胁，利用匿名通信工具，并采用多种技术手段规避检测和建立持久性。对于企业而言，构建以强身份验证、漏洞管理、员工培训和可靠备份为核心的纵深防御体系，是应对此类威胁最有效的方法。

部分资料来源于互联网

了解亚信安全，请点击“阅读原文”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：亚信安全 应急响应中心 应急响应中心《Black Shrantac勒索闪电来袭，两个月攻破30+企业防线》