LockBit 于 2019 年 9 月首次被发现。当时,由于其攻击方法,它被称为ABCD勒索软件:勒索软件会加密文件并将其文件扩展名更改为.abcd。较新版本的 LockBit 将文件扩展名更改为 .lockbit。
与其他勒索软件不同,LockBit 是自我执行的——它没有很长的休眠阶段。许多其他恶意软件可执行文件会休眠数周,这使得攻击者能够执行侦察。通过研究目标的安全控制和备份/存档策略,攻击者可以克服这些防御,从而提高成功赎金的机会。
LockBit不使用这种策略。相反,它执行迅速,通过连接的系统传播,以最大限度地发挥攻击的影响。它通常将其可执行文件隐藏为通用文件格式(例如 PNG),从而在加密发生时逃避检测。下面,我们将讨论 LockBit 的一些独特特征,并解释为什么勒索软件在不良行为者中越来越受欢迎。如果您的组织遭受了 LockBit 感染,我们将随时为您提供帮助。要讨论恢复选项,请联系我们。
LockBit的创建者建立了一个联盟系统(也称为勒索软件即服务或RaaS)。运营商使用 LockBit 感染高价值目标,这些目标被迫支付赎金来解密他们的文件。早期版本的 LockBit 使用 tor 浏览器将受害者引导至赎金消息,而较新的变体使用标准 Web 浏览器。赎金在运营商和原始 LockBit 组之间分配。LockBit集团还向安全研究人员提供付款,这些研究人员通过“漏洞赏金”计划发现勒索软件代码中的漏洞,贡献者最多可赚取上百万元。
由于 LockBit 运行速度很快,因此它已成为 RaaS 社区中不良行为者的流行工具。最初的LockBit组织也多次更新了他们的“服务”,加强了其加密和渗透策略,以阻止数据恢复。2022 年 9 月,LockBit 遭受了安全漏洞。LockBit 构建器是通过 Twitter 发布的,这将使其他勒索软件组织能够修改勒索软件(并避免向原始组织支付部分赎金)。这可能会导致利用 Lockbit 方法的新勒索软件变种。
Lockbit可以感染Windows和Linux系统,运营商显然正在努力扩展其功能。虽然勒索软件本身是自动执行的,但攻击者试图瞄准更有可能成功赎金的系统。目标包括:
医疗保健提供者
教育机构
制造商和物流供应商
金融公司
信息技术 (IT) 业务
石油、天然气和其他供应链组织
零售业务
LockBit集团坚持认为,它有一个“道德准则”,可以防止不良行为者攻击慈善机构,教育机构和医疗保健提供者。然而,实际上,攻击者会针对任何有漏洞的机构 - 医疗保健提供者一直是特别常见的目标。
防止 LockBit 感染的最佳策略与 IT 安全的最佳实践一致:
拥有强大的密码协议,并传达强大的安全控制的重要性。
相应地分配用户帐户权限。
尽可能使用多重身份验证。
建立备份和存档策略,以实现有效的灾难恢复。定期测试您的策略。
参与系统渗透测试(PEN 测试),并与第三方安全分析师合作监控潜在威胁。
请记住,许多勒索软件变种都有一个休眠阶段。虽然全面的备份策略是强大的网络安全解决方案的必要组成部分,但它不能替代强大的安全控制。
一般来说,是可以的,虽然 LockBit 对文件进行加密以防止访问,但我们的工程师发现了几个漏洞,这些漏洞允许在许多情况下进行数据恢复。
成功恢复的机会取决于几个因素:
感染的时间跨度
受感染的卷数
使用的 LockBit 版本(ABCD、LockBit 2.0 或 LockBit 3.0)
受感染文件的大小和复杂性
在大多数情况下,受感染的数据库是可恢复的,鉴于 LockBit 会寻找这些高价值文件作为目标,这一点至关重要。我们可以解决MySQL,Postgre SQL,Microsoft SQL Server,MongoDB和其他常见格式上的LockBit感染的方法。
如果无法恢复勒索软件,我们的团队可以帮助您的组织制定灾难恢复策略并防范未来的攻击。
公司地址:重庆市沙坪坝区小龙坎新街49号正升自由康都B座15-11号;有关我们服务协议的更多信息,请参阅 条款和条件;
Copyright @2020-2023 补天芯数据恢复基地 All Rights Reserved. 。sitemap
ICP备案编号:渝ICP备2020011340号-1;
网安备案:渝公安备案 50010602503064