6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

目录6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

前言：案例简介6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

一、什么是.lockbit勒索病毒？6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

二、LockBit勒索病毒是如何工作的？6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

三、如何保护自己免受 .lockbit后缀勒索病毒勒索病毒感染？6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

四、中了.lockbit后缀勒索病毒文件怎么恢复？6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

五、恢复案例介绍：6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

1. 被加密数据情况6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

2. 数据恢复完成情况6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

系统安全防护措施建议： 6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

---

前言：案例简介

        .lockbit后缀勒索病毒是去年升级版的国外知名的lockbit勒索病毒家族开始传播的勒索病毒，自去年该病毒爆发以来，我们陆续有接到被该病毒感染加密数据企业咨询与求助，而且该病毒不止攻击国内服务器，在全球范围内制造了多起大型知名企业攻击而名声大噪，我们团队也不断研究该病毒的加密数据，发现攻击者渗透了其内部网络后，会用恶意加密软件加密服务器的文件。被感染的机器中的所有文件都被添加了“.lockbit”后缀，并且无法正常打开，加密速度非常之快，通常加密一台服务器的文件仅需20-30分钟即可完成全部数据的加密，经测试，该勒索病毒的加密速度在目前所有勒索病毒中排行第一。如果被加密的数据确实有恢复的价值与必要性，可添加我们的技术服务号（sjhf91）进行免费咨询获取数据恢复的相关帮助。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

        接下来我们先来了解下.lockbit勒索病毒。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

---

一、什么是.lockbit勒索病毒？

        LockBit 是一系列勒索网络攻击中的一种新的勒索软件攻击。它以前称为“ABCD”勒索软件，现已发展成为这些勒索工具范围内的独特威胁。LockBit 是勒索软件的一个子类，被称为“加密病毒”，因为它围绕金融支付形成勒索请求以换取解密。它主要关注企业和政府组织，而不是个人。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

        使用LockBit 的攻击最初始于 2019 年 9 月，当时它被称为“.abcd 病毒”。这个名字是指加密受害者文件时使用的文件扩展名。过去值得注意的目标包括美国、中国、印度、印度尼西亚、乌克兰的组织。此外，整个欧洲（法国、英国、德国）的多个国家/地区都发生了攻击。因此，这可能会导致针对从医疗保健到金融机构的大型企业的广泛攻击。在其自动审查过程中，它似乎也有意避免攻击俄罗斯或独联体任何其他国家的本地系统。据推测，这是这个组织为了避免在这些领域受到起诉。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

而对于迄今遭到LockBit 2.0攻击的组织，涵盖的行业与国家可说是相当广泛，攻击者入侵的52个组织，包含会计、汽车、顾问、工程、财务、高科技、医疗、保险、执法单位、法律服务、制造业、非营利能源产业、零售业、物流业，以及公共事业领域等。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

攻击者下手目标的国家，除了日前发出警告的澳大利亚之外，还包含阿根廷、奥地利、比利时、巴西、德国、意大利、马来西亚、墨西哥、罗马尼亚、瑞士、英国，以及美国。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

                                                        图 勒索病毒加密速度对比 6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

 6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

二、LockBit勒索病毒是如何工作的？

        LockBit勒索病毒被许多权威机构认为是“LockerGoga & MegaCortex”恶意软件家族的一部分。这仅仅意味着它与这些既定形式的目标勒索软件共享行为。作为快速解释，我们了解这些攻击是：6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

● 在组织内自我传播，而不需要手动指导。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

● 有针对性，而不是像垃圾邮件恶意软件那样散漫地传播。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

● 使用类似的工具进行传播，如 Windows Powershell 和服务器消息块 (SMB)。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

最重要的是它的自我传播能力，这意味着它可以自行传播。在其编程中，LockBit 由预先设计的自动化流程指导。这使得它在许多其他勒索病毒攻击中独树一帜，这些勒索病毒攻击是通过手动在服务器网络中来完成侦察和监视。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

攻击者通过手动感染单个主机后，它可以找到其他可访问的主机，将它们连接到受感染的主机，并使用脚本共享感染。这是在没有人为干预的情况下完全完成的。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

此外，它使用几乎所有 Windows 计算机系统固有的模式中的工具。端点安全系统（包括杀毒软件）很难标记恶意活动。它还通过伪装成常见的文件格式来隐藏可执行加密文件，进一步欺骗系统防御。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

一旦进入系统，LockBit 2.0就会使用网络扫描器来识别网络结构并找到目标域控制器。它还使用多个批处理文件，可用于终止进程、服务和安全工具。还有用于在受感染机器上启用RDP连接的批处理文件。以下是确保LockBit顺利执行的工具和组件：6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

• delsvc.bat确保关键进程，例如MySQL和QuickBooks不可用。它还会停止Microsoft Exchange并禁用其他相关服务；6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

• AV.bat会卸载防病毒程序ESET；6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

• LogDelete.bat清除Windows事件日志；6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

• Defoff.bat会禁用实时监控等Windows Defender功能。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

LockBit 2.0还滥用Process Hacker和PC Hunter等合法工具来终止受害系统中的进程和服务。一旦进入域控制器，勒索软件就会创建新的组策略并将它们发送到网络上的每个设备。这些策略禁用Windows Defender，并将勒索软件二进制文件分发和执行到每台Windows计算机。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

 6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

三、如何保护自己免受 .lockbit后缀勒索病毒勒索病毒感染？

        经过分析中毒后的机器环境判断，勒索病毒基本上是通过以下几种方式入侵，请大家可逐一了解并检查以下防范入侵方式，毕竟事前预防比事后恢复容易的多。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

软件或者网站漏洞6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

    根据系统环境，针对性进行排查，例如常见被攻击环境Java语言编写的软件或者网站程序等。查 web 日志、排查域控与设备补丁情况等。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

远程桌面口令爆破6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

    检查 Windows 日志中的安全日志以及防火墙日志等6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

共享设置6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

    检查是否只有共享出去的文件被加密。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

包括以下常见的勒索病毒攻击入侵方式：6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

 6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

四、中了.lockbit后缀勒索病毒文件怎么恢复？

        此后缀病毒文件由于加密算法的原因，每台感染的电脑服务器文件都不一样，需要独立检测与分析加密文件的病毒特征与加密情况，才能确定最适合的恢复方案。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

        考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性，可添加我们的技术服务号（sjhf91）进行免费咨询获取数据恢复的相关帮助。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

---

五、恢复案例介绍：

1. 被加密数据情况6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

        一台服务器，被加密的文件有23万+个，主要恢复数十个财务软件数据库。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic
 6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

2. 数据恢复完成情况6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

        数据当天完成恢复，23万多个被加密文件，除了C盘搜狗拼音输入法的个别文件未恢复，其余文件均已恢复，数据库文件均已恢复，数据恢复率等于100%。恢复完成的库文件均可以正常附加使用。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

 6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

 6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

系统安全防护措施建议：6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

预防远比救援重要，所以为了避免出现此类事件，您必须设置保护措施，以确保您的机器能够抵御来自任何勒索病毒的恶意攻击。以下措施可以有效预防其攻击：6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

1. 1.实施强密码。许多帐户泄露的发生是由于易于猜测的密码，或者那些简单到算法工具可以在几天内发现的密码。确保您选择安全密码，例如选择具有字符变化的较长密码，以及使用自行创建的规则来制作密码短语。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

2. 2.激活多重身份验证。通过在基于密码的初始登录顶部添加层来阻止暴力攻击。尽可能在所有系统上包括生物识别或物理 USB 密钥身份验证器等措施。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

3. 3.重新评估并简化用户帐户权限。将权限限制在更严格的级别，以限制潜在威胁不受阻碍地通过。特别注意端点用户和具有管理员级别权限的 IT 帐户访问的那些。Web 域、协作平台、Web 会议服务和企业数据库都应该受到保护。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

4. 4.清理过时和未使用的用户帐户。一些较旧的系统可能有来自过去员工的帐户，这些帐户从未停用和关闭。完成对系统的检查应包括消除这些潜在的弱点。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

5. 5.确保系统配置遵循所有安全程序。这可能需要时间，但重新审视现有设置可能会发现新问题和过时的策略，使您的企业面临攻击风险。必须定期重新评估标准操作程序，以应对新的网络威胁。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

6. 6.始终准备好系统范围的备份和干净的本地机器映像。勒索病毒攻击每天都会发生，唯一真正可以防止永久数据丢失的保护措施是脱机备份。您的数据应定期创建离线异地备份，以及时了解系统的任何重要更改。如果备份被恶意病毒感染，可以考虑使用多个轮换的备份点来选择文件保存周期。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic

7. 7.确保拥有全面的企业网络安全解决方案。可以考虑采购企业级的网络安全保护软件将帮助您通过实时保护捕获整个企业网络中的文件下载及更好地抵御网络攻击。以帮助您保护您的业务和设备。6EE91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/rox/wstop/mkp/SRC/Devic