老牌勒索病毒LockBit升级为LockBit2.0?别慌!360安全大脑可有效抵御!

阅读量54776

发布时间 : 2021-08-17 18:33:59

 

近日,Lockbit2.0在其数据泄露网站发布了关于网络保险提供商、全球IT咨询巨头埃森哲遭受勒索攻击的相关新闻。据悉,Lockbit团伙不仅加密了埃森哲2500台设备,还从内网中窃取了6TB数据,并发布警告称:若不在指定时间内支付5000万美元赎金,将公开发布窃取到的全部数据。不过,广大政企的用户也无需担心,因360安全大脑系统可对此类病毒威胁做出有效处理。

7月中旬,Lockbit正式将病毒更新为Lockbit2.0版本。此次更新有多个被关注点:一是,Lockbit2.0宣称是全世界加密最快的勒索软件,(之前REvil说自己是世界上加密速度最快、偷数据最快的勒索),并贴出包括其之前版本的加密测试速度对比图;二是,其窃取速度快,20分钟可窃取100GB数据;三是,其具备在域控内自动传播的能力。

经360高级威胁研究分析中心研判分析,Lockbit之所以能够在全球多地同期传播,定然具备大量传播分销商与多个攻击传播团伙。Lockbit不仅在国外十分泛滥,在国内也非常流行,并针对不同企业会采用不同的攻击手法。例如,针对中小企业;其善用RDP的弱口令攻击;在大型网络中,则会通过使用Active Directory组策略自动批量下发病毒,加密Windows域。另外,在被攻击的终端中,360政企安全团队还发现了密钥提取工具和内网渗透工具。

除此之外,Lockbit也会进行数据窃取与双重勒索。据了解,勒索软件团伙窃取数据时,通过设置关键词,在已获得权限的设备中来批量提取文件。带有“网络”、“政策”、“保险”、“补充”、“条款”、“会计”、“财务”、“2020”、“2021”、“银行”、“声明”等关键词文件夹内的数据是攻击者最感兴趣的。同时,攻击者还会针对企业所属行业的特征,来定向提取有价值的内容。如:受害者是软件开发类型的公司,那么软件、游戏源代码就会成为攻击者感兴趣的内容。

从加密手段层面猜测,Lockbit2.0勒索病毒采用RSA+AES的加密方式,是为方便作者调试,其通过对系统语言的检测,有意避开独联体地区的相关国家,让加密效果最大化,病毒会在系统中查找多大80个服务和105个进程,一旦发现则结束对应的服务和进程。同时它还会加密本地文件,尝试连接远程IP、枚举网络资源,以求进一步对可访问的网络数据进行加密。该病毒的加密流程示意图如下:

一旦被加密,则系统桌面会被修改:

系统中还会弹出如下形式的勒索信息提示窗口:

作为数字经济的守护者,360政企安全集团立足党政军企网络安全刚需,在360安全大脑的极智赋能下,面向政企用户推出360终端安全产品体系。其中360终端安全管理系统是以大数据、云计算等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控功能于一体的企业级安全产品。360终端安全管理系统可对此类病毒威胁做出有效处理。最后,面对此类勒索病毒威胁,360安全大脑给出如下安全建议:

1. 对于广大政企用户,可通过安装360终端安全管理系统,有效拦截木马病毒威胁,保护文件及数据安全;

2. 对于安全软件报毒的程序,不要轻易添加信任或退出安全软件;

3. 安装并确保开启安全软件,保证其对本机的安全防护。

本文由360数字安全原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/250786

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360数字安全
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66