目录
前言
????????老牌勒索病毒LockBit升级为LockBit 2.0,并 承诺通过名为“StealBit”的新工具提供市场上最快的数据上传速度,该工具还支持实时压缩和拖放功能,并且对安全工具保持隐藏。根据 LockBit 的承诺,它可以在不到 20 分钟的时间内从受感染的系统下载 100 GB 的数据。
????????这对于勒索病毒攻击者来说非常重要,因为他们泄露数据的速度越快,在此过程中被用户发现和阻止的机会就越少。窃取数据是当今勒索病毒攻击的重点,因为这些数据通常是受害者支付赎金的唯一原因。
一、Lockbit 2.0勒索病毒新特性是什么?
LockBit组织 声称提供“全世界”最快的加密和文件窃取 (StealBit) 工具。今年 5 月,LockBit 团队试图通过为“毫无疑问的权威用户提供一个私人部分”来在一个流行的俄语论坛上重新讨论勒索软件。但用户当时认为勒索软件主题“现在比 ISIS 恐怖分子更广为人知”,这意味着该论坛会受到不必要的关注。
新版LockBit2.0的特性介绍:
1.Tor系统管理员面板;
2.可通过Tor与公司沟通,聊天室推送通知自动测试解密;自动解密检测;
3.端口扫描器位于本地子网中,可以检测所有DFS、SMB、Webdav共享
4.在运行时在域网络中自动分发,而无需脚本终止干扰服务和进程
5.阻止进程启动,可以破坏加密进程的文件权限设置和删除阻止属性删除卷影副本;
6.创建隐藏分区、拖放文件和文件夹:清除日志和自清除;窗口或隐藏操作模式;
7.启动通过局域网唤醒关闭的计算机;网络打印机打印输出要求;适用于所有版本的Windows操作系统:
8.可以以极快的速度上传用户的数据,以泄露数据来威胁用户。
二、Lockbit2.0勒索病毒加密速度与上传速度
1.加密速度对比
Lockbit2.0勒索病毒号称是世界上最快的加密软件。为了弄清楚究竟有多快,我们91数据恢复团队做了一个比较表,与几个类似的勒索病毒加密程序对比来每个病毒的文件加密速度,由下图可见:Lockbit2.0以每秒373M的速度位列所有勒索病毒的第一名,加密100GB的文件仅需要4分半钟,速度十分恐怖。
2.文件上传速度
与其它勒索病毒所不同的是,Lockbit2.0勒索病毒不但在入侵后加密机器上的数据,而且还会以极快的速度上传数据文件,最后以泄露数据来要挟受害者交付赎金。
由下图可见,Lockbit2.0勒索病毒的上传文件速度位列第一,上传100GB文件仅需20分钟。
三、LockBit2.0勒索病毒是如何传播感染的?
经过分析多家公司中毒后的机器环境判断,勒索病毒基本上是通过以下几种方式入侵,请大家可逐一了解并检查以下防范入侵方式,毕竟事前预防比事后恢复容易的多。
远程桌面口令爆破
? ? 关闭远程桌面,或者修改默认用户administrator
共享设置
? ? 检查是否只有共享出去的文件被加密。?
激活/破解
? ? 检查中招之前是否有下载未知激活工具或者破解软件。?
僵尸网络
? ? 僵尸网络传播勒索病毒之前通常曾在受害感染设备部署过其它病毒木马,可通过使用杀毒软件进行查杀进行判断。?
第三方账户 ?
? ? 检查是否有软件厂商提供固定密码的账户或安装该软件会新增账户。包括远程桌面、数据库等涉及到口令的软件。?
四、中了LockBit2.0勒索病毒文件怎么恢复?
此后缀文件的修复成功率大概在95%~100%之间。
1.如果文件不急需,可以先备份等黑客被抓或良心发现,自行发布解密工具,但是希望很渺茫。
2.如果文件急需,可以添加服务号(shujuxf),发送文件样本进行免费咨询数据恢复方案。
3.幸运的是,如果只需要单独恢复数据库文件,这个病毒的中毒数据库文件可以修复率达到95%~99%之间,但是需要十分专业的修复技术进行提取方可完成,具体可以咨询技术服务号(shujuxf)。
五、预防勒索病毒-日常防护建议:
预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:
1.多台机器,不要使用相同的账号和口令,以免出现“一台沦陷,全网瘫痪”的惨状;
2.登录口令要有足够的长度和复杂性,并定期更换登录口令;
3.严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。
4.及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。
5.关闭非必要的服务和端口如135、139、445、3389等高危端口。
6.备份备份备份!!!重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份,对于涉及到机密或重要的文件建议选择多种方式来备份;
7.提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件;
8.安装专业的安全防护软件并确保安全监控正常开启并运行,及时对安全软件进行更新。