<tt id="igjcl"><tbody id="igjcl"></tbody></tt>
  • <rp id="igjcl"></rp>
    <rt id="igjcl"><optgroup id="igjcl"></optgroup></rt>
  • <tt id="igjcl"><form id="igjcl"></form></tt>
  • <source id="igjcl"><optgroup id="igjcl"></optgroup></source>
    <strong id="igjcl"></strong>
  • <tt id="igjcl"><noscript id="igjcl"></noscript></tt>
    <rt id="igjcl"><meter id="igjcl"></meter></rt>
    <strong id="igjcl"><li id="igjcl"></li></strong>
    深圳融安網絡科技有限公司

     

    新型勒索軟件致使全球多家大公司中招!!!最新LockBit 2.0 勒索軟件攻擊事件樣本分析

    2021-09-07 09:13:24來源:深圳融安網絡科技有限公司
    概述

    LockBit 2.0是一款新型的勒索軟件,使用勒索軟件即服務(RaaS)模式。LockBit勒索軟件團伙于2019年9月開始運營,并于2021年6月宣布推出LockBit2.0勒索軟件服務。該惡意軟件已被用于針對全球多個行業的勒索軟件攻擊。在過去的幾個月內非?;钴S,由于Lockbit2.0勒索病毒加密的文件無法自行解密,危害較大,因此融安網絡公司發布安全提醒,建議廣大用戶加強警惕,注意防范。



    事件回顧

     

    2021年8月11日全球知名的IT咨詢公司埃森哲遭到了LockBit2.0勒索軟件攻擊。該團伙在其泄漏網站上宣布了這一攻擊。據稱從埃森哲竊取了6TB的數據,并要求支付5000萬美元的贖金,有2500臺計算機受到損害。

    2021年8月6日,意大利能源公司ERG報告說,在其系統遭受勒索軟件攻擊后,由于迅速部署了內部網絡安全程序,它的ICT基礎設施只經歷了幾次輕微的中斷,目前正在克服這些中斷。雖然該公司僅將該事件稱為黑客攻擊,但《共和國報》報道說,該攻擊是由LockBit 2.0勒索軟件組織發起的。



    LockBit勒索軟件歷史版本


    1).abcd

    LockBit最早版本稱為ABCD勒索軟件,該別名參考了當時被加密文件的后綴.abcd

    2).lockbit

    該勒索軟件的第二個已知版本,加密文件的文件后綴被修改為.lockbit,生成Restore-My-Files.txt的勒索信,要求受害者下載 Tor 瀏覽器:

    桌面還會彈出如下形式的勒索信息提示窗口:

    3).lockbit (2.0版本)

     LockBit 2.0版本在勒索說明中不再要求受害者下載 Tor 瀏覽器,2.0版本桌面彈出的勒索信息提示窗口如下:





    樣本分析


    樣本基礎信息

    逆向分析:

    對樣本進行逆向分析發現原始樣本的導入表內容非常少,需要動態加載dll文件,對所有的關鍵函數都采用動態調用的方式。


    獲取本機系統語言信息,與硬編碼在代碼中多個國家的語言ID列表進行比較

    如果是以下列表語言系統則不進行勒索加密

    防止中斷導致加密失敗,創建注冊表Run啟動實現開機自啟"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"


    調用CreateToolhelp32Snapshot、Process32FirstW和Process32NextW函數遍歷進程并結束指定進程,其中包含多個殺毒軟件的服務,如下:

    wxServer、wxServerView、sqlmangr、RAgui、supervise、Culture、Defwatch、winword、QBW32、QBDBMgr、qbupdate、axlbridge、httpd、fdlauncher、MsDtSrvr、java、360se、360doctor、wdswfsafe、fdhost、GDscan、ZhuDongFangYu、QBDBMgrN、mysqld、AutodeskDesktopApp、acwebbrowser、Creative  Cloud、Adobe Desktop Service、CoreSync、Adobe  CEF、Helper、node、AdobeIPCBroker、sync-taskbar、sync-worker、InputPersonalization、AdobeCollabSync、BrCtrlCntr、BrCcUxSys、SimplyConnectionManager、Simply、SystemTrayIcon、fbguard、fbserver、ONENOTEM、wsa_service、koaly-exp-engine-service、TeamViewer_Service、TeamViewer、tv_w32、tv_x64、TitanV、Ssms、notepad、RdrCEF、sam、oracle、ocssd、dbsnmp、synctime、agntsvc、isqlplussvc、xfssvccon、mydesktopservice、ocautoupds、encsvc、tbirdconfig、mydesktopqos、ocomm、dbeng50、sqbcoreservice、excel、infopath、msaccess、mspub、onenote、outlook、powerpnt、steam、thebat、thunderbird、visio、wordpad、bedbh、vxmon、benetns、bengien、pvlsvr、beserver、raw_agent_svc、vsnapvss、CagService、DellSystemDetect、EnterpriseClient、ProcessHacker、Procexp64、Procexp、GlassWire、GWCtlSrv、WireShark、dumpcap、j0gnjko1、Autoruns、Autoruns64、Autoruns64a、Autorunsc、Autorunsc64、Autorunsc64a、Sysmon、Sysmon64、procexp64a、procmon、procmon64、procmon64a、ADExplorer、ADExplorer64、ADExplorer64a、tcpview、tcpview64、tcpview64a、avz、tdsskiller、RaccineElevatedCfg、RaccineSettings、Raccine_x86、Raccine、Sqlservr、RTVscan、sqlbrowser、tomcat6、QBIDPService、notepad++、SystemExplorer、SystemExplorerService、SystemExplorerService64、Totalcmd、Totalcmd64、VeeamDeploymentSvc

    然后獲取盤符信息以及磁盤類型,對本地、移動磁盤及網絡共享文件進行快速加密,加密文件結束后,在所有被加密文件的路徑下生成勒索信。



    融安網絡有效防護Lockbit2.0勒索軟件


    目前,融安網絡的工業防火墻、工業入侵檢測系統支持檢測和攔截Lockbit勒索軟件的入侵攻擊活動。

    融安網絡工業入侵檢測系統是一款專門針對工業控制網絡設計的網絡安全需求的檢測系統。通過對工業控制系統中的工控協議進行深度解析,形成了特有的工控網絡黑白名單檢測策略,實現了對各工業控制網絡系統的有效入侵檢測。內置龐大入侵行為特征庫,提供深度攻擊特征分析,基于高速、智能模式匹配方法,能夠精確識別各種已知攻擊行為,以及基于智能白名單學習引擎技術,對未知攻擊行為以及APT攻擊行為進行識別和報警。同時,融安網絡的工業終端安全衛士也可以有效阻止Lockbit勒索軟件的破壞。

    工業終端安全衛士是一款基于網絡安全等級保護2.0標準打造的安全加固和審計系統,它具備進程白名單、訪問控制、主機防火墻、安全審計、基線核查、病毒掃描、文件完整性和外設訪問控制等功能,支持當前主流Linux和Windows操作系統。



    安全建議


    1.  對于廣大政企用戶,可通過融安網絡工業防火墻、工業入侵檢測系統,有效檢測和攔截勒索木馬病毒威脅,保護文件及數據安全;通過工業終端安全衛士,對主機進行有效安全加固;

    2.  多臺機器,不要使用相同的賬號和口令,登錄口令要有足夠的長度和復雜性,并定期更換登錄口令;

    3.  重要資料的共享文件夾應設置訪問權限控制,并進行定期備份;

    4.  定期檢測系統漏洞并且及時進行補丁修復。

    分享:

    微博
    微信公眾號
    迅雷电影
    <tt id="igjcl"><tbody id="igjcl"></tbody></tt>
  • <rp id="igjcl"></rp>
    <rt id="igjcl"><optgroup id="igjcl"></optgroup></rt>
  • <tt id="igjcl"><form id="igjcl"></form></tt>
  • <source id="igjcl"><optgroup id="igjcl"></optgroup></source>
    <strong id="igjcl"></strong>
  • <tt id="igjcl"><noscript id="igjcl"></noscript></tt>
    <rt id="igjcl"><meter id="igjcl"></meter></rt>
    <strong id="igjcl"><li id="igjcl"></li></strong>