当前位置:首页 >> 业界动态
关于近期勒索病毒Lockbit的安全通告
1. 漏洞类型:
TAG: Lockbit、勒索病毒、RDP爆破
危害等级:
应急等级: 黄色

2. 漏洞影响:
  近日,检测到国内有企业遭受到lockbit勒索病毒攻击,被加密破坏的文件添加了.Lockbit后辍。该病毒出现于2019年末,传播方式主要利用RDP口令爆破。RDP(远程桌面协议)常用于远程桌面控制,远程办公、远程连接服务器主机管理、堡垒机登录等。
  经分析,该病毒使用RSA+AES算法加密文件,加密过程采用了IOCP完成端口+AES-NI指令集提升其病毒工作效率,从而实现对文件的高性能加密流程。由于该病毒暂无有效的解密工具,被攻击后文件无法恢复,需定期对重要文件和数据(数据库等数据)进行非本地备份。

图1 检测到的恶意文件

3. 病毒分析:
  不法分子首先探测RDP端口开放情况,通过爆破RDP弱口令连接受害机,远程投递勒索病毒恶意文件。
  该病毒首先采用了IOCP(输入/输入完成端口)来提高自身对文件加密的性能,对文件加密所使用的算法为RSA+AES,且会对主机的CPU进行检测是否支持AES-NI。

图2 检测CPU是否支持AES-NI
  加密文件后,文件均被添加.lockbit扩展后缀。且加密后会删除系统对系统卷的备份信息,这将导致无法通过恢复磁盘等方法来恢复文件。但其不加密以下文件:

System volume

Windows nt

.icns

.rom

Information

Thumbs.db

.lock

.bat

Rrestore-My-Files.txt

.msstyles

.rdp

.wpx

Internet Explorer

All users

.Ink

.drv

Microsoft share

Microsoft

.ico

.shs

Application data

.lockbit

.hlp

.hlp

Windows

.diagcfg

.sys

.bin

Journal

.diagcab

.idx

.rtp

Ntuser.dat

.diagpkg

.ini

.hta

.log

Perflogs

.dll

.mod

Microsoft.NET

Msocache

.reg

.cpl

Iconcache.db

Mizilla

.mp3

.mpa

Bootsect.bak

Msbuild

.key

.ocx

Common files

Appdata

.ics

.nls

$windows.~ws

Windows

Msu

.com

$recycle.bin

.theme

.ps1

.msp

$windows.old

Google

.spl

.msi

Tor browser

Ntldr

.msc

.adv

.ani

.exe

.cmd

..386
  同时会修改桌面壁纸,在系统重启后无法进入桌面,而是直接跳转到一张图片以及一封名为Restore-My-Files.txt勒索信,要求用户登录暗网缴纳赎金,一般情况下,通过RSA和AES加密算法,解密时需要私钥,否则无法解密。

图3 勒索信内容
  此外,该病毒还会对局域网进行嗅探,探测局域网内主机是否开放135,445端口,如果开放则尝试遍历其主机内的共享资源进行加密。

4. 受影响系统:
  • Windows

5. 防范措施:
1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、采用高强度的密码,避免使用弱口令密码,并定期更换。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。网管可通过强制安全策略要求局域网所有服务器、终端系统使用强密码并设定密码过期策略。
4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、对重要文件和数据(数据库等数据)进行定期非本地备份。
6、加强人员安全意识培训,谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。
7、若主机或终端设备感染勒索病毒,应立即断开网络通信,防止病毒在局域网内进一步扩散,并对主机进行风险排查。

6. 参考链接:
https://mp.weixin.qq.com/s/4j0dps2b-y4HIudZ1tNJRg