近日，91資料恢復團隊接到多家公司的求助，這些公司的伺服器都因中毒感染。lockbit字尾勒索病毒而導致公司業務停擺或停滯，。lockbit字尾勒索病毒今年突然重新肆虐傳播，這個勒索病毒究竟是什麼來頭？今年又有什麼變化？讓91資料恢復團隊分析看看。

LockBit是長期勒索網路攻擊中的一種新型勒索軟體攻擊。它以前被稱為“ ABCD”勒索軟體，在這些勒索工具範圍內已發展成為一種獨特的威脅。LockBit是勒索軟體的一個子類，被稱為“加密病毒”，因為它圍繞金融支付形成了勒索請求以換取解密。它主要關注企業和政府組織，而不是個人。

使用LockBit的攻擊最初於2019年9月開始，當時被稱為“ 。abcd病毒”。這個名字是指加密受害者檔案時使用的副檔名。過去的主要目標包括美國，中國，印度，印度尼西亞，烏克蘭的組織。此外，歐洲各地的許多國家（法國，英國，德國）也遭受了攻擊。

。lockbit字尾勒索病毒攻擊的三個階段：

大致可以透過三個階段來了解LockBit攻擊：

1。 入侵

2。 滲透

3。 加密

階段1：利用網路中的弱點。

最初的漏洞看起來很像其他惡意攻擊。諸如網路釣魚之類的社會工程策略可能會利用組織，在這種策略中，攻擊者冒充可信任的人員或許可權來請求訪問憑據。同樣可行的是在組織的Intranet伺服器和網路系統上使用蠻力攻擊。如果沒有適當的網路配置，攻擊探測可能僅需要幾天才能完成。

一旦LockBit進入網路，勒索軟體便準備好讓系統在所有可能的裝置上釋放其加密有效負載。但是，攻擊者可能必須確保完成一些其他步驟，才能採取最終行動。

第2階段：深入滲透以完成攻擊設定（如果需要）。

從現在開始，LockBit程式將獨立地指導所有活動。它被程式設計為使用所謂的“漏洞利用後”工具來獲得逐步升級的特權，以實現攻擊就緒的訪問級別。它也源於透過橫向運動已經可用的通道，以審查目標的生存能力。

正是在這個階段，LockBit將在部署勒索軟體的加密部分之前採取任何準備措施。這包括禁用安全程式和任何其他可能允許系統恢復的基礎結構。

滲透的目標是使無助恢復變得不可能，或者使其緩慢到足以屈服於攻擊者的贖金是唯一可行的解決方案。當受害者迫切希望恢復手術時，他們將支付贖金。

階段3：部署加密有效負載。

一旦為充分利用LockBit做好了網路準備，勒索軟體將開始在它可以接觸的任何計算機上傳播。如前所述，LockBit不需要太多時間即可完成此階段。具有高訪問許可權的單個系統單元可以向其他網路單元發出命令，以下載並執行LockBit。

加密部分將在所有系統檔案上放置一個“鎖”。受害者只能透過LockBit專有的解密工具建立的自定義金鑰來解鎖系統。該過程還會在每個系統資料夾中保留一個簡單的勒索便條文字檔案的副本。它為受害者提供了恢復其系統的說明，甚至在某些LockBit版本中還包括威脅勒索。

。lockbit字尾勒索病毒的變體過程

作為最新的勒索軟體攻擊，LockBit勒索病毒可能是一個令人擔憂的問題。我們不能排除它可能會在許多行業和組織中紮根的可能性，特別是隨著遠端工作的增加。發現LockBit的變體可以幫助您準確識別正在處理的內容。

變體1 —。abcd擴充套件

LockBit的原始版本使用副檔名“ 。abcd”重新命名檔案。此外，它還包含一個贖金記錄，其中包含“ Restore-My-Files。txt”檔案中要求進行恢復的要求和說明，該檔案已插入每個資料夾中。

變式2-。LockBit擴充套件

該勒索軟體的第二個已知版本採用了“ 。LockBit”副檔名，從而使它成為當前的綽號。但是，受害者會發現，儘管對後端進行了一些修訂，但此版本的其他特徵似乎基本相同。

變體3 — LockBit版本2

下一個可識別的LockBit版本不再需要按照贖金說明下載Tor瀏覽器。相反，它透過傳統的網際網路訪問將受害者傳送到備用網站。

感染。lockbit字尾勒索病毒建議立馬做以下幾件事情：

1。將感染病毒的斷開網際網路連線；

2。拔下所有儲存裝置；

3。登出雲端儲存帳戶；

4。關閉所有共享資料夾；

5。尋求專業資料恢復公司的幫助，千萬不要擅自進行檔案字尾修改，這將二次破壞檔案內容，可能導致後期資料無法恢復。

。lockbit字尾勒索病毒資料檔案能否恢復？

如中毒後未擅自二次修改或操作資料檔案，。lockbit字尾勒索病毒的資料恢復成功率可達90%~99%之間，具體可新增91資料恢復的服務號（sjhf91）進行免費檢測檢視，可根據檔案檢測結果獲取最低成本下的資料恢復方案。

中了。lockbit檔案字尾的勒索病毒檔案該怎麼辦？

最終，您必須設定保護措施，以確保您的組織能夠抵禦來自抵銷版的任何勒索軟體或惡意攻擊。以下是一些可以幫助您準備的實踐：

1、應實施強密碼。由於容易猜測的密碼，或者由於很簡單的演算法工具可以在幾天內發現密碼而導致許多帳戶違規。請確保您選擇安全的密碼，例如選擇帶有字元變體的較長密碼，並使用自行建立的規則來編寫密碼短語。

2、啟用多因素身份驗證。透過在基於密碼的初始登入之上新增層來阻止暴力攻擊。儘可能在所有系統上包括生物識別或物理USB金鑰認證器之類的措施。

4、清除過時和未使用的使用者帳戶。某些較舊的系統可能擁有以前從未停用和關閉過的員工帳戶。在您的系統上完成檢查應包括消除這些潛在的弱點。

5、確保系統配置遵循所有安全性程式。這可能會花費一些時間，但是重新訪問現有設定可能會發現新問題和過時的策略，從而使您的組織面臨遭受攻擊的風險。必須定期重新評估標準操作程式，以及時瞭解最新的網路威脅。

6、始終準備好系統範圍的備份並清理本地計算機映像。將會發生事件，而防止永久性資料丟失的唯一真正的保護措施就是離線副本。您的組織應該定期建立備份，以使您對系統的任何重要更改保持最新。如果備份被惡意軟體感染而汙染，請考慮使用多個迴圈備份點來選擇清除期。

7、確保擁有完善的企業網路安全解決方案。雖然LockBit可以嘗試在一個單元中一次禁用保護，但是企業網路安全保護軟體將透過實時保護幫助您捕獲整個組織中的檔案下載，以幫助您保護企業和裝置。

系統安全防護措施建議：

1。多臺機器，不要使用相同的賬號和口令

2。登入口令要有足夠的長度和複雜性，並定期更換登入口令

3。重要資料的共享資料夾應設定訪問許可權控制，並進行定期備份

4。定期檢測系統和軟體中的安全漏洞，及時打上補丁。

5。定期到伺服器檢查是否存在異常。

6。安裝安全防護軟體，並確保其正常執行。

7。從正規渠道下載安裝軟體。

8。對不熟悉的軟體，如果已經被防毒軟體攔截查殺，不要新增信任繼續執行。

9。儲存良好的備份習慣，儘量做到每日備份，異地備份。