宣称全世界加密最快的勒索软件——LockBit 20

宣称全世界加密最快的勒索软件——LockBit 20

　　软件协会会员,免费会员软件下载,免费会员电视剧软件Lockbit勒索软件早在2019年9月就被发现,当时称之为“ABCD病毒”,利用此勒索软件进行攻击的黑客团伙以针对企业及政府组织而出名,主要目标为中国,印度,印度尼西亚,乌克兰、英国,法国,德国等国家。2021年6月,LockBit勒索团伙将原有勒索软件升级为LockBit 2.0版本,并对外宣称这是全世界加密最快的勒索软件,可以在不到20分钟的时间内从受感染的系统下载100 GB 的数据。

　　Lockbit最早发现且流行约2020年初，通过RDP弱口令爆破攻击，该勒索病毒不仅加密本地磁盘文件。还将枚举并加密同一网段下的所有共享磁盘。加密文件采用RSA结合AES的方式。至今在没有秘钥的情况下暂不能解密。本次样本为最新的Lockbit2.0，其勒索病毒团伙号称是迄今为止世界上最快的加密软件。

　　运行后将在C盘%Appdata%目录下创建文件夹SBOP Crystal释放文件集。其中sharpsvn.exe为主程序，在释放后立即执行。

　　Guide.pdf文件中插入多段ShellCode, 通过偏移一定值按序执行代码逻辑

　　读取的Guide.pdf文件数据通过一个偏移值访问任意一段ShellCode来执行功能

　　硬编码字符串通过异或来解密，所有的模块在shellcode运行时动态加载

　　在内存中通过异或解密多组描述服务名称的字符串，依次停止那些指定的名称的服务。

　　通过GetAdaptersInfo获得本机网卡的子网地址段，枚举1-255内网IP, 对其中建立连接成功的网络地址通过NetShareEnum枚举它的网络共享资源，对其中的共享资源进行加密操作。

　　限制可使用 RDP 的用户，仅将远程访问授权给那些必须用它来执行工作的人

　　设置访问锁定策略， 通过配置账户锁定策略， 调整账户锁定阀值与锁定持续时间等配置，可以有效抵御一定时间下高频的暴力破击

　　审视 RDP 的使用需求，如果业务不需要使用它，那么可以将所有 RDP 端口关闭，也可以仅在特定时间之间打开端口

　　重新分配 RDP 端口，可考虑将默认 RDP 端口更改为非标准的端口号, 可避免一部分恶意软件对特定 RDP 端口的直接攻击，仍需另外部署端口扫描攻击防范措施

　　RDP 以及系统管理员的登陆，应使用高强度的复杂密码以降低弱口令爆破的机会。

　　通过防火墙规则限制如445、3389端口/关闭445、3389端口或是修改端口号防止病毒通过扫描端口等方式查询区域资产信息