Lockbit勒索病毒全球肆虐中国政府企业如何应对？

喜欢

来源：互联网
|
2021-08-18
|
0 条评论
|
T小字　 T大字

近日，Lockbit2.0在其数据泄露网站发布了关于网络保险提供商、全球IT咨询巨头埃森哲遭受勒索攻击的相关新闻。据悉，Lockbit团伙不仅加密了埃森哲2500台设备，还从内网中窃取了6TB数据，并发布警告称：若不在指定时间内支付5000万美元赎金，将公开发布窃取到的全部数据。不过，广大政企的用户也无需担心，因360安全大脑系统可对此类病毒威胁做出有效处理。

7月中旬，Lockbit正式将病毒更新为Lockbit2.0版本。此次更新有多个被关注点：一是，Lockbit2.0宣称是全世界加密最快的勒索软件，（之前REvil说自己是世界上加密速度最快、偷数据最快的勒索），并贴出包括其之前版本的加密测试速度对比图；二是，其窃取速度快，20分钟可窃取100GB数据；三是，其具备在域控内自动传播的能力。

经360高级威胁研究分析中心研判分析，Lockbit之所以能够在全球多地同期传播，定然具备大量传播分销商与多个攻击传播团伙。Lockbit不仅在国外十分泛滥，在国内也非常流行，并针对不同企业会采用不同的攻击手法。例如，针对中小企业；其善用RDP的弱口令攻击；在大型网络中，则会通过使用Active Directory组策略自动批量下发病毒，加密Windows域。另外，在被攻击的终端中，360政企安全团队还发现了密钥提取工具和内网渗透工具。

除此之外，Lockbit也会进行数据窃取与双重勒索。据了解，勒索软件团伙窃取数据时，通过设置关键词，在已获得权限的设备中来批量提取文件。带有“网络”、“政策”、“保险”、“补充”、“条款”、“会计”、“财务”、“2020”、“2021”、“银行”、“声明”等关键词文件夹内的数据是攻击者最感兴趣的。同时，攻击者还会针对企业所属行业的特征，来定向提取有价值的内容。如：受害者是软件开发类型的公司，那么软件、游戏源代码就会成为攻击者感兴趣的内容。

从加密手段层面猜测，Lockbit2.0勒索病毒采用RSA+AES的加密方式，是为方便作者调试，其通过对系统语言的检测，有意避开独联体地区的相关国家，让加密效果最大化，病毒会在系统中查找多大80个服务和105个进程，一旦发现则结束对应的服务和进程。同时它还会加密本地文件，尝试连接远程IP、枚举网络资源，以求进一步对可访问的网络数据进行加密。该病毒的加密流程示意图如下：

一旦被加密，则系统桌面会被修改：

系统中还会弹出如下形式的勒索信息提示窗口：

作为数字经济的守护者，360政企安全集团立足党政军企网络安全刚需，在360安全大脑的极智赋能下，面向政企用户推出360终端安全产品体系。其中360终端安全管理系统是以大数据、云计算等新技术为支撑，以可靠服务为保障，集防病毒与终端安全管控功能于一体的企业级安全产品。360终端安全管理系统可对此类病毒威胁做出有效处理。最后，面对此类勒索病毒威胁，360安全大脑给出如下安全建议：