您当前的位置:主页 > 勒索病毒最新动态 >

lockbit勒索病毒泛滥,中招后缀被篡改添加.Lockbit

2020-04-30 15:33 勒索病毒终结者

  近日,力创数据接到不少用户的咨询,他们单位的服务器均遭受到 lockbit 勒索病毒攻击,遭遇入侵后,服务器上所有文件都加密锁定,被加密破坏的文件添加了.Lockbit 后辍。lockbit 勒索病毒首次出现在去年年底,主要利用 RDP 口令爆破进行传播,RDP(远程桌面协议)常用于远程桌面控制,远程办公、远程连接服务器主机管理、堡垒机登录等。

  以下是一客户中了.Lockbit后缀勒索病毒后的文件夹。
中了勒索病毒

  经分析,lockbit 勒索病毒使用 RSA+AES 算法加密文件,加密过程采用了 IOCP 完成端口+AES-NI 指令集提升其病毒工作效率,从而实现对文件的高性能加密流程。由于该病毒暂无有效的解密工具,被攻击后文件无法恢复,需定期对重要文件和数据(数据库等数据)进行非本地备份。

  入侵者首先探测 RDP 端口开放情况,通过爆破 RDP 弱口令连接受害机,远程投递勒索病毒恶意文件。lockbit 勒索病毒首先采用了 IOCP(输入/输入完成端口)来提高自身对文件加密的性能,对文件加密所使用的算法为 RSA+AES,且会对主机的 CPU 进行检测是否支持 AES-NI。加密文件后,文件均被添加.lockbit 扩展后缀。且加密后会删除系统对系统卷的备份信息,这将导致无法通过恢复磁盘等方法来恢复文件。

  同时会修改桌面壁纸,在系统重启后无法进入桌面,而是直接跳转到一张图片以及一封名为 Restore-My-Files.txt 勒索信,要求用户缴纳赎金。

  该入侵者会在客户每一个文件夹内留下一个名为Restore-My-Files.txt的文本文件。
中了勒索病毒

  此外,该病毒还会对局域网进行嗅探,探测局域网内主机是否开放 135,445端口,如果开放则尝试遍历其主机内的共享资源进行加密。

  lockbit勒索病毒泛滥,力创数据建议采取以下防范措施:

  1、尽量关闭不必要的端口,如:445、135,139 等,对 3389,5900 等端口可进行白名单配置,只允许白名单内的 IP 连接登陆。

  2、尽量关闭不必要的文件共享,如有需要,请使用 ACL 和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

  3、采用高强度的密码,避免使用弱口令密码,并定期更换。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。网管可通过强制安全策略要求局域网所有服务器、终端系统使用强密码并设定密码过期策略。

  4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

  5、对重要文件和数据(数据库等数据)进行定期非本地备份。

  6、加强人员安全意识培训,谨慎下载陌生邮件附件,若非必要,应禁止启用 Office 宏代码。

  7、若主机或终端设备感染勒索病毒,应立即断开网络通信,防止病毒在局域网内进一步扩散,并对主机进行风险排查。

  中了该病毒的服务器内所有的文档和数据库等均被加密,无法使用,会给企业的正常运营带来不可估量的损失。力创数据针对各种勒索病毒,具有专业和有效的防御解决方案,力创数据也提醒各个企业,一定要注重网络安全防御,以保障公司数据安全,在高度数字化的今天,数据的价值越来越大,一旦丢失损失巨大,遇到任何网站安全问题或者已经中了勒索病毒请立即联系我们免费咨询。

如有疑问,马上在线咨询 点击在线咨询

相关阅读

勒索病毒最新动态

  • 免费服务热线:

    周一至周日 8:00-22:00

    13265855616

  • 微信扫描

    即可开始对话

    勒索病毒解密客服二维码
勒索病毒文件恢复,密钥破解,后续防御
数据恢复热线:13265855616