lockbit勒索病毒介绍
lockbit是从年开始流行的一种勒索病毒,在年的时候升级换代为lockbit2.0,算法更新的同时还加入了磁盘卷影和日志文件,让恢复工作变得十分困难,在今年的7月份lockbit再次升级为lockbit.0勒索病毒,入侵能力得到加强,那么如何判断是否中了lockbit.0呢
首先桌面上的软件图标全被更改,变成了字母"B",然后文件名被随机数字加字母打乱,每个文件都不一样,桌面背景全黑,留下了一大串英文“lockbitblack”,如图
点开readme.txt的勒索信文件,是这样子的
看看文件夹里变成什么样了,文件夹里的文件名一样被随机打乱,后缀名是.aGrhEtcUe,当然这串后缀不是固定的,在我们接到的案例中,都不一样,如图
lockbit勒索病毒最不同的特征就是,它把盘符名也改了,改成了“BLACKHOLE”,不多说上图
通过以上特征,很容易判断自己中的是否是lockbit勒索病毒了,那么中了这种勒索病毒可以恢复吗,经过技术人员的研究,90%以上的中毒情况是可以恢复的,具体需要检测后才能知道是否能恢复,该种勒索病毒基本也是针对企业进行攻击,所以我们恢复方案也是针对企业的重要文件来恢复,例如数据库等大文件,有需要的可以咨询我们(PCCHINA)
如何感染上lockbit勒索病毒
一、开启了远程桌面,设置的密码太简单、或使用初始密码,被登录投毒。太简单、或使用初始密码,被登录投毒。
二、下载了激活工具或者破解软件导致中毒文件被加密。
三、设置了共享文件夹,局域网内有其它机器中招,导致共享文件夹的数据被其它机器的病毒加密。
四、运行了钓鱼邮件中的附件导致中毒文件被加密。
五、系统中存在漏洞导致中毒文件被加密。
六、U盘蠕虫导致文件被加密。
七、其它弱口令攻击,例如mysql,tomcat等。
防护方案
检测系统和软件中的安全漏洞,及时打上补丁。
检查登录口令要有足够的长度和复杂性,并更新安全度不足或疑似已经泄露的登录口令。
对尚未被加密的重要文件进行及时备份,避免依然存在活跃的勒索病毒对重要数据进行新一轮加密。
加强对敏感数据的隔离,如可行,尽可能完全断开敏感数据与外界的一切连接。避免具有多重勒索功能的病毒进一步获取更多的重要信息作为勒索筹码。
