勒索者病毒家族介绍之五——LockBit:悲伤故事的制造者
首页 > 防勒索者病毒
Lockbit 勒索病毒
对于很多机构及个人来说,可能从来未听说过 Lockbit 这个勒索者病毒名称,但据相关调查,Lockbit 是美国、英国、法国、德国、乌克兰、中国、印度和印度尼西亚等国家中最为普遍的网络攻击勒索事件制造者。
对于所有网络攻击者来说,他们都始于同一个起跑线:寻找那些拥有珍贵数据的目标,且这些目标在面对丢失珍贵数据的威胁时,有能力支付巨额赎金。“功夫不负有心人”,他们终于定位到一个掌控整个机构网络的管理员账户:脆弱的密码、多因素身份验证保护机制的缺失,给了攻击者长驱直入绑架整个网络的机会。
对于其他勒索者病毒来讲,在突破受攻击网络之后,攻击者需要在该网络系统中进行长时间的逗留(通常是几天甚至几星期),以最终实现文件加密的目的。但 Lockbit 不同,它采用了更为省事的自我传播机制,攻击者仅需在被攻击的网络中停留数小时,剩下的就可以依靠自行执行。
Lockbit 的攻击阶段
阶段1. 探索网络薄弱点
LockBit 与众不同的一点是,它首先会通过 ARP 表来定位目标所在位置,如果目标在俄罗斯或独联体的其他国家,则停止攻击,以躲避当地的法律制裁。
排除以上可能性之后,其初始的攻击行为与其他勒索者病毒相似。机构可能会被黑客社会工程学攻击伎俩(比如网络钓鱼等)所试探,在此过程中,攻击者会冒充受信任的个人或权威,以获取访问凭据;也可能会使用暴力攻击机构的内部服务器或网络。如果机构网络安全设置不完善,这个试探攻击过程可能仅需几天就可完成。然后通过运行 PowerShell 脚本将勒索软件发送到这些机器中。
阶段2. 如有必要,深入渗透,完成攻击设置
从此步开始,LockBit 程序就开始独立运作了。它使用所谓的“探索后”工具,来进行随时可展开攻击级别的访问。在这个步骤中,LockBit 完成实施加密前的准备工作,包括禁用网络安全程序以及有助于系统恢复的其他基础设施。渗透的目的是令自动恢复功能失效或速度极其缓慢,这样,受攻击者才能被迫接受支付赎金。
阶段3. 部署加密有效负载
一旦网络准备好可以完全调动 LockBit,该勒索软件就开始在可触及的任何计算机上开始传播。如前所述,LockBit 不需要进行太多操作来完成此阶段。具有高访问权限的单个系统可以向其他网络单元发出命令以下载并运行 LockBit。
加密操作环节将对所有系统文件进行锁定。受害者只能通过 LockBit 专有解密工具所创建的用户密钥解锁其系统。该过程还在每个系统文件夹中保留一个包含赎金信息的文本文件。
一旦机构的文件被 LockBit 加密,其计算机桌面中将会如下所示:
勒索信息如下:
LockBit 变种
变种1 — .abcd 扩展名
LockBit 的原始版本使用".abcd"扩展名重命名文件。此外,每个文件夹中包括一个"Restore-My-Files.txt"赎金说明文件,其中包含要求和所谓的恢复指导。
变种2 — .LockBit 扩展名
此勒索软件的第二个已知版本采用".LockBit"文件扩展名。
变种3 — .LockBit version 2
LockBit 的下一个可识别版本不再需要在其赎金说明中下载 Tor 浏览器。相反,它通过传统的互联网接入将受害者指引到备用网站。
如何防止 LockBit 勒索软件攻击
就像预防任何其他勒索软件一样,您必须设置保护措施,以确保您的组织能够抵御任何恶意攻击。以下是一些实际方法:
- - 采用强密码。许多帐户泄露是由于使用了易于猜测的密码,或者那些简单的使用算法工具在几天内就可计算出的密码。请确保使用了安全密码,例如具有字符变量的较长密码,并使用自创建的规则来制作密码。
- - 激活多因素身份验证。在基于密码的登录之上添加其他层面来阻止暴力攻击。尽可能在所有系统上包括生物识别或物理 USB 密钥身份验证器等措施。
- - 重新评估和简化用户帐户权限。将权限限制为更严格的级别,以限制未被察觉的访问。特别注意具有管理级别权限的终端用户和 IT 帐户的访问权限。网络域、协作平台、Web 会议服务和企业数据库都应受到保护。
- - 清理过时和未使用的用户帐户。一些较旧的系统可能拥有之前员工未被停用和关闭的帐户。完成对系统的检查应包括消除这些潜在的弱点。
- - 确保系统配置遵循所有安全程序。这可能需要时间,但重新检查现有设置可能会揭露那些令机构面临攻击威胁的新问题和过时的策略。必须定期重新评估标准操作程序,以防范新的网络威胁。
- - 始终做好系统范围的备份和干净的本地计算机映像。总会有意外的事件发生。而防止永久数据丢失的唯一真正保障是离线的备份。机构应定期创建备份,以跟上系统的任何重要更改。并且确保在某个备份受到恶意软件感染时,可以选择一个干净的未被感染的时间段。
- - 确保有全面完善的企业网络安全解决方案。虽然 LockBit 可以尝试在一个单元中禁用一次保护,但企业网络安全保护软件将帮助您通过实时保护捕获整个组织的文件下载行为。