近日,91数据恢复团队接到多家公司的求助,这些公司的服务器都因中毒感染.lockbit后缀勒索病毒而导致公司业务停摆或停滞,.lockbit后缀勒索病毒今年突然重新肆虐传播,这个勒索病毒究竟是什么来头?今年又有什么变化?让91数据恢复团队分析看看。
LockBit是长期勒索网络攻击中的一种新型勒索软件攻击。它以前被称为“ ABCD”勒索软件,在这些勒索工具范围内已发展成为一种独特的威胁。LockBit是勒索软件的一个子类,被称为“加密病毒”,因为它围绕金融支付形成了勒索请求以换取解密。它主要关注企业和政府组织,而不是个人。
使用LockBit的攻击最初于2019年9月开始,当时被称为“ .abcd病毒”。这个名字是指加密受害者文件时使用的文件扩展名。过去的主要目标包括美国,中国,印度,印度尼西亚,乌克兰的组织。此外,欧洲各地的许多国家(法国,英国,德国)也遭受了攻击。
.lockbit后缀勒索病毒攻击的三个阶段:
大致可以通过三个阶段来了解LockBit攻击:
最初的漏洞看起来很像其他恶意攻击。诸如网络钓鱼之类的社会工程策略可能会利用组织,在这种策略中,攻击者冒充可信任的人员或权限来请求访问凭据。同样可行的是在组织的Intranet服务器和网络系统上使用蛮力攻击。如果没有适当的网络配置,攻击探测可能仅需要几天才能完成。
一旦LockBit进入网络,勒索软件便准备好让系统在所有可能的设备上释放其加密有效负载。但是,攻击者可能必须确保完成一些其他步骤,才能采取最终行动。
第2阶段:深入渗透以完成攻击设置(如果需要)。
从现在开始,LockBit程序将独立地指导所有活动。它被编程为使用所谓的“漏洞利用后”工具来获得逐步升级的特权,以实现攻击就绪的访问级别。它也源于通过横向运动已经可用的通道,以审查目标的生存能力。
正是在这个阶段,LockBit将在部署勒索软件的加密部分之前采取任何准备措施。这包括禁用安全程序和任何其他可能允许系统恢复的基础结构。
渗透的目标是使无助恢复变得不可能,或者使其缓慢到足以屈服于攻击者的赎金是唯一可行的解决方案。当受害者迫切希望恢复手术时,他们将支付赎金。
阶段3:部署加密有效负载。
一旦为充分利用LockBit做好了网络准备,勒索软件将开始在它可以接触的任何计算机上传播。如前所述,LockBit不需要太多时间即可完成此阶段。具有高访问权限的单个系统单元可以向其他网络单元发出命令,以下载并运行LockBit。
加密部分将在所有系统文件上放置一个“锁”。受害者只能通过LockBit专有的解密工具创建的自定义密钥来解锁系统。该过程还会在每个系统文件夹中保留一个简单的勒索便条文本文件的副本。它为受害者提供了恢复其系统的说明,甚至在某些LockBit版本中还包括威胁勒索。
.lockbit后缀勒索病毒的变体过程:
作为最新的勒索软件攻击,LockBit勒索病毒可能是一个令人担忧的问题。我们不能排除它可能会在许多行业和组织中扎根的可能性,特别是随着远程工作的增加。发现LockBit的变体可以帮助您准确识别正在处理的内容。
感染.lockbit后缀勒索病毒建议立马做以下几件事情:
1.将感染病毒的断开互联网连接;
2.拔下所有存储设备;
3.注销云存储帐户;
4.关闭所有共享文件夹;
5.寻求专业数据恢复公司的帮助,千万不要擅自进行文件后缀修改,这将二次破坏文件内容,可能导致后期数据无法恢复。
.lockbit后缀勒索病毒数据文件能否恢复?
如中毒后未擅自二次修改或操作数据文件,.lockbit后缀勒索病毒的数据恢复成功率可达90%~99%之间,具体可添加91数据恢复的服务号(sjhf91)进行免费检测查看,可根据文件检测结果获取最低成本下的数据恢复方案。
中了.lockbit文件后缀的勒索病毒文件该怎么办?
最终,您必须设置保护措施,以确保您的组织能够抵御来自抵销版的任何勒索软件或恶意攻击。以下是一些可以帮助您准备的实践:
1、应实施强密码。由于容易猜测的密码,或者由于很简单的算法工具可以在几天内发现密码而导致许多帐户违规。请确保您选择安全的密码,例如选择带有字符变体的较长密码,并使用自行创建的规则来编写密码短语。
2、激活多因素身份验证。通过在基于密码的初始登录之上添加层来阻止暴力攻击。尽可能在所有系统上包括生物识别或物理USB密钥认证器之类的措施。
3、重新评估并简化用户帐户权限。将权限限制在更严格的级别,以限制未经授权通过的潜在威胁。请特别注意端点用户和具有管理员级别权限的IT帐户访问的用户。Web域,协作平台,Web会议服务和企业数据库都应得到保护。
4、清除过时和未使用的用户帐户。某些较旧的系统可能拥有以前从未停用和关闭过的员工帐户。在您的系统上完成检查应包括消除这些潜在的弱点。
5、确保系统配置遵循所有安全性程序。这可能会花费一些时间,但是重新访问现有设置可能会发现新问题和过时的策略,从而使您的组织面临遭受攻击的风险。必须定期重新评估标准操作程序,以及时了解最新的网络威胁。
6、始终准备好系统范围的备份并清理本地计算机映像。将会发生事件,而防止永久性数据丢失的唯一真正的保护措施就是脱机副本。您的组织应该定期创建备份,以使您对系统的任何重要更改保持最新。如果备份被恶意软件感染而污染,请考虑使用多个循环备份点来选择清除期。
7、确保拥有完善的企业网络安全解决方案。虽然LockBit可以尝试在一个单元中一次禁用保护,但是企业网络安全保护软件将通过实时保护帮助您捕获整个组织中的文件下载,以帮助您保护企业和设备。
系统安全防护措施建议:
1.多台机器,不要使用相同的账号和口令
2.登录口令要有足够的长度和复杂性,并定期更换登录口令
3.重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4.定期检测系统和软件中的安全漏洞,及时打上补丁。
5.定期到服务器检查是否存在异常。
6.安装安全防护软件,并确保其正常运行。
7.从正规渠道下载安装软件。
8.对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。
9.保存良好的备份习惯,尽量做到每日备份,异地备份。
LockBit是长期勒索网络攻击中的一种新型勒索软件攻击。它以前被称为“ ABCD”勒索软件,在这些勒索工具范围内已发展成为一种独特的威胁。LockBit是勒索软件的一个子类,被称为“加密病毒”,因为它围绕金融支付形成了勒索请求以换取解密。它主要关注企业和政府组织,而不是个人。
使用LockBit的攻击最初于2019年9月开始,当时被称为“ .abcd病毒”。这个名字是指加密受害者文件时使用的文件扩展名。过去的主要目标包括美国,中国,印度,印度尼西亚,乌克兰的组织。此外,欧洲各地的许多国家(法国,英国,德国)也遭受了攻击。
.lockbit后缀勒索病毒攻击的三个阶段:
大致可以通过三个阶段来了解LockBit攻击:
- 入侵
- 渗透
- 加密
最初的漏洞看起来很像其他恶意攻击。诸如网络钓鱼之类的社会工程策略可能会利用组织,在这种策略中,攻击者冒充可信任的人员或权限来请求访问凭据。同样可行的是在组织的Intranet服务器和网络系统上使用蛮力攻击。如果没有适当的网络配置,攻击探测可能仅需要几天才能完成。
一旦LockBit进入网络,勒索软件便准备好让系统在所有可能的设备上释放其加密有效负载。但是,攻击者可能必须确保完成一些其他步骤,才能采取最终行动。
第2阶段:深入渗透以完成攻击设置(如果需要)。
从现在开始,LockBit程序将独立地指导所有活动。它被编程为使用所谓的“漏洞利用后”工具来获得逐步升级的特权,以实现攻击就绪的访问级别。它也源于通过横向运动已经可用的通道,以审查目标的生存能力。
正是在这个阶段,LockBit将在部署勒索软件的加密部分之前采取任何准备措施。这包括禁用安全程序和任何其他可能允许系统恢复的基础结构。
渗透的目标是使无助恢复变得不可能,或者使其缓慢到足以屈服于攻击者的赎金是唯一可行的解决方案。当受害者迫切希望恢复手术时,他们将支付赎金。
阶段3:部署加密有效负载。
一旦为充分利用LockBit做好了网络准备,勒索软件将开始在它可以接触的任何计算机上传播。如前所述,LockBit不需要太多时间即可完成此阶段。具有高访问权限的单个系统单元可以向其他网络单元发出命令,以下载并运行LockBit。
加密部分将在所有系统文件上放置一个“锁”。受害者只能通过LockBit专有的解密工具创建的自定义密钥来解锁系统。该过程还会在每个系统文件夹中保留一个简单的勒索便条文本文件的副本。它为受害者提供了恢复其系统的说明,甚至在某些LockBit版本中还包括威胁勒索。
.lockbit后缀勒索病毒的变体过程:
作为最新的勒索软件攻击,LockBit勒索病毒可能是一个令人担忧的问题。我们不能排除它可能会在许多行业和组织中扎根的可能性,特别是随着远程工作的增加。发现LockBit的变体可以帮助您准确识别正在处理的内容。
变体1 —。abcd扩展
LockBit的原始版本使用扩展名“ .abcd”重命名文件。此外,它还包含一个赎金记录,其中包含“ Restore-My-Files.txt”文件中要求进行恢复的要求和说明,该文件已插入每个文件夹中。变式2-。LockBit扩展
该勒索软件的第二个已知版本采用了“ .LockBit”文件扩展名,从而使它成为当前的绰号。但是,受害者会发现,尽管对后端进行了一些修订,但此版本的其他特征似乎基本相同。变体3 — LockBit版本2
下一个可识别的LockBit版本不再需要按照赎金说明下载Tor浏览器。相反,它通过传统的互联网访问将受害者发送到备用网站。感染.lockbit后缀勒索病毒建议立马做以下几件事情:
1.将感染病毒的断开互联网连接;
2.拔下所有存储设备;
3.注销云存储帐户;
4.关闭所有共享文件夹;
5.寻求专业数据恢复公司的帮助,千万不要擅自进行文件后缀修改,这将二次破坏文件内容,可能导致后期数据无法恢复。
.lockbit后缀勒索病毒数据文件能否恢复?
如中毒后未擅自二次修改或操作数据文件,.lockbit后缀勒索病毒的数据恢复成功率可达90%~99%之间,具体可添加91数据恢复的服务号(sjhf91)进行免费检测查看,可根据文件检测结果获取最低成本下的数据恢复方案。
中了.lockbit文件后缀的勒索病毒文件该怎么办?
最终,您必须设置保护措施,以确保您的组织能够抵御来自抵销版的任何勒索软件或恶意攻击。以下是一些可以帮助您准备的实践:
1、应实施强密码。由于容易猜测的密码,或者由于很简单的算法工具可以在几天内发现密码而导致许多帐户违规。请确保您选择安全的密码,例如选择带有字符变体的较长密码,并使用自行创建的规则来编写密码短语。
2、激活多因素身份验证。通过在基于密码的初始登录之上添加层来阻止暴力攻击。尽可能在所有系统上包括生物识别或物理USB密钥认证器之类的措施。
3、重新评估并简化用户帐户权限。将权限限制在更严格的级别,以限制未经授权通过的潜在威胁。请特别注意端点用户和具有管理员级别权限的IT帐户访问的用户。Web域,协作平台,Web会议服务和企业数据库都应得到保护。
4、清除过时和未使用的用户帐户。某些较旧的系统可能拥有以前从未停用和关闭过的员工帐户。在您的系统上完成检查应包括消除这些潜在的弱点。
5、确保系统配置遵循所有安全性程序。这可能会花费一些时间,但是重新访问现有设置可能会发现新问题和过时的策略,从而使您的组织面临遭受攻击的风险。必须定期重新评估标准操作程序,以及时了解最新的网络威胁。
6、始终准备好系统范围的备份并清理本地计算机映像。将会发生事件,而防止永久性数据丢失的唯一真正的保护措施就是脱机副本。您的组织应该定期创建备份,以使您对系统的任何重要更改保持最新。如果备份被恶意软件感染而污染,请考虑使用多个循环备份点来选择清除期。
7、确保拥有完善的企业网络安全解决方案。虽然LockBit可以尝试在一个单元中一次禁用保护,但是企业网络安全保护软件将通过实时保护帮助您捕获整个组织中的文件下载,以帮助您保护企业和设备。
系统安全防护措施建议:
1.多台机器,不要使用相同的账号和口令
2.登录口令要有足够的长度和复杂性,并定期更换登录口令
3.重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4.定期检测系统和软件中的安全漏洞,及时打上补丁。
5.定期到服务器检查是否存在异常。
6.安装安全防护软件,并确保其正常运行。
7.从正规渠道下载安装软件。
8.对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。
9.保存良好的备份习惯,尽量做到每日备份,异地备份。
本站文章均为91数据恢复专业数据团队根据公司业务案例,数据恢复工作中整理发表,部分内容摘自权威资料,书籍,或网络原创文章,如有版权纠纷或者违规问题,请即刻联系我们删除,我们欢迎您分享,引用和转载,我们谢绝直接复制和抄袭,感谢!
联络方式:
客服热线:400-1050-918
技术顾问:133-188-44580 166-6622-5144
邮箱:91huifu@91huifu.com
微信公众号
售前工程师1
售前工程师2