国内不少企业遭遇lockbit后缀勒索病毒攻击，中了lockbit勒索病毒有哪些典型症状？

　　近日力创数据接到不少用户的咨询，他们公司的服务器都遭遇到lockbit勒索病毒的攻击，遭遇攻击后，服务器上的所有文件包括数据库都被加密锁定了，被lockbit勒索病毒加密破坏的文件以及数据库添加了.lockbit 后辍，无法正常打开使用。

　　lockbit后缀勒索病毒从去年年末开始流行，主要利用RDP口令爆破进行传播。RDP(远程桌面协议)常用于远程桌面控制，远程办公、远程连接服务器主机管理、堡垒机登录等。

　　lockbit后缀勒索病毒使用RSA+AES算法对文件进行加密，加密过程采用了IOCP完成端口+AES-NI 指令集提升其病毒工作效率，从而实现对文件的高性能加密流程。攻击者首先探测RDP端口开放情况，通过爆破RDP弱口令连接受害者的主机，远程投递勒索病毒恶意文件。lockbit勒索病毒首先采用了IOCP(输入/输入完成端口)来提高自身对文件加密的性能，对文件加密所使用的算法为 RSA+AES，且会对主机的CPU进行检测是否支持 AES-NI。加密文件后，文件均被添加.lockbit 扩展后缀。且加密后会删除系统对系统卷的备份信息，这将导致无法通过恢复磁盘等方法来恢复文件。

　　同时lockbit勒索病毒还会修改桌面壁纸，在系统重启后无法进入桌面，而是直接跳转到一张图片以及一封名为 Restore-My-Files.txt 勒索信。此外，lockbit勒索病毒病毒还会对局域网进行嗅探，探测局域网内主机是否开放 135，445端口，如果开放则尝试遍历其主机内的共享资源进行加密。

　　勒索病毒危害巨大，力创数据建议大家从以下角度提升自身的勒索病毒防范能力：

　　1、及时修复系统漏洞，做好日常安全运维。

　　2、采用高强度密码，杜绝弱口令，增加勒索病毒入侵难度。

　　3、定期备份重要资料，建议使用单独的文件服务器对备份文件进行隔离存储。

　　4、加强安全配置提高安全基线，例如关闭不必要的文件共享，关闭3389、445、139、135等不用的高危端口等。

　　5、提高员工安全意识，不要点击来源不明的邮件，不要从不明网站下载软件。

　　6、选择技术能力强的杀毒软件，以便在勒索病毒攻击愈演愈烈的情况下免受伤害。

如有疑问，马上在线咨询 点击在线咨询