数据结构
网络
关系型数据库管理系统
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C语言编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
时尚研究
法律研究什么是LockBit勒索软件攻击?
LockBit 勒索软件是一种有害的恶意软件,旨在阻止用户访问计算机系统,除非支付赎金。LockBit 将自动在网络上传播感染,寻找有价值的目标,并加密任何可访问的计算机系统。这种恶意软件被用于针对企业和其他组织的高度针对性的攻击。
LockBit 攻击者通过对全球企业构成以下威胁而声名鹊起 -
基本运营中断,并突然停止。
黑客正在进行敲诈以谋取私利。
如果受害者不合作,勒索手段包括窃取数据和未经授权的传播。
什么是 LockBit 勒索软件?
LockBit 是一种新的勒索软件攻击,属于一系列网络敲诈勒索攻击。它有时被称为“ABCD”勒索软件,但现在已发展成为这些勒索工具环境中的一种独特的威胁。由于它基于以换取解密为条件的货币支付来提出赎金要求,因此 LockBit 是一种称为“加密病毒”的勒索软件。它主要针对企业和政府机构,而不是个人。
LockBit 攻击始于 2019 年 9 月,当时被称为“.abcd 病毒”。这个昵称指的是用于加密受害者文件的扩展名的名称。美国、中国、印度、印度尼西亚和乌克兰的组织是以前一些著名的目标。此外,在法国、英国和德国等多个欧洲国家也发生了攻击。
将因中断而受到阻碍并有能力支付赎金的目标将被视为可行的目标。因此,这可能导致对大型企业(包括医疗保健和金融机构)的广泛攻击。在其自动审查过程中,它似乎也故意避免攻击俄罗斯或任何其他独立国家联合体国家的本地系统。这可能是为了避免在这些地方受到起诉。
LockBit 扮演勒索软件即服务 (RaaS) 的角色。在使用定制的雇佣攻击时,愿意的各方支付定金并通过联盟计划赚钱。LockBit 开发团队获得高达 ¾ 的赎金,攻击性联盟也获得其中的一部分。
LockBit 勒索软件是如何运作的?
许多当局认为“LockerGoga & MegaCortex”恶意软件家族包括 LockBit 勒索软件。简单来说,这意味着它的行为与某些成熟类型的针对性勒索软件类似。
以下是我们了解到的关于这些攻击的简要说明 -
在组织内部自我传播,无需人工干预
有针对性,而不是像垃圾邮件恶意软件那样随机发送。
使用类似的方法传播,例如服务器消息块和 Windows Powershell (SMB)。
最重要的是它具有自我传播能力,或者说能够自行发展。预制自动化方法指导 LockBit 的编程。这使它有别于许多其他依赖于手动驻留在网络中进行侦察和监视(通常持续数周)的勒索软件攻击。
在攻击者物理感染一台主机后,可以使用脚本查找其他可访问的主机,将其连接到受感染的主机,并传播感染。所有这些都无需人工干预即可完成并重复。
此外,它以几乎所有 Windows 计算机系统中常见的方式使用工具。端点安全系统难以检测到恶意行为。此外,它将加密文件可执行文件伪装成常见文件以隐藏它。PNG 图片文件格式进一步欺骗了系统防御。
LockBit 使用的威胁
LockBit 作为最新的勒索软件爆发所带来的威胁是一个严重的问题。考虑到当前远程工作数量的增加,我们不能排除它会传播到多个组织和行业的可能性。查找 LockBit 的变体可以帮助确定您面临的具体情况。
变体 1 中的 abcd 扩展名 - 在 LockBit 的初始版本中,文件被重命名为“.abcd”扩展名。它还包含一个“Restore-My-Files.txt”文件,该文件已放置在包含赎金信(其中包含要求和据称恢复指南)的每个文件夹中。
变体 2 中的 LockBit 添加 - 在第二个已知的版本采用“.LockBit”文件扩展名后,此勒索软件被赋予了当前名称。受害者会发现,尽管后端发生了一些小的变化,但此版本的其他特性看起来非常相似。
LockBit 的第 3 个变体 - LockBit 的下一个版本的赎金说明不再提及下载 Tor 浏览器。相反,它使用传统的互联网连接将受害者引导至不同的网站。
LockBit 的持续修改和改进 - 最近,LockBit 添加了更多恶意功能,例如删除管理员权限检查点。现在,LockBit 会禁用用户在应用程序尝试以管理员身份执行时可能收到的安全提示。
此外,该病毒现在配置为复制服务器数据,并在赎金消息中包含额外的勒索行。如果受害者不服从命令,LockBit 现在威胁要将其敏感信息公开给公众。
LockBit 的解密和移除
由于 LockBit 可能造成的问题,端点设备需要在整个组织中实施严格的保护措施。第一步是拥有完整的端点安全解决方案。如果您的公司已经受到影响,仅仅消除 LockBit 勒索软件并不能恢复对文件的访问。由于加密需要“密钥”才能解锁,您仍然需要一个工具来恢复您的系统。如果您已经拥有感染前的备份映像,您也可以通过重新映像系统来恢复系统。
290 次浏览
