图片展示

通告:近期大量财务服务器感染.Locked勒索病毒,了解紧急救援!!!

.LockBit2.0勒索病毒

 

 病毒家族 LockBit勒索软件即服务(RaaS)团伙
病毒别名 Lockbit2.0勒索软件
影响系统 Windows
出现时间 2019

01

.LockBit2.0勒索病毒中毒后表现

 

 

局域网内设备批量被感染;所有文件被加密成.lock扩展名;系统部分服务、安全软件、进程被中止运行;日志被删除;病毒自销毁;

每台被感染设备产生不同Decryption ID和暗网.onion洋葱地址;

更改被感染设备桌面显示勒索信息;局域网内打印机自动打印勒索信息;

02

.LockBit2.0勒索病毒生成文件信息

 

 

 

 

Restore-My-Files.txt

 

LockBit 2.0 Ransomware

Your data are stolen and encrypted
The data will be published on TOR website http://**********.onion and https://bigblog.at if you do not pay the ransom
You can contact us and decrypt one file for free on these TOR sites
http://**********.onion
http://**********.onion
OR
https://decoding.at

Decryption ID: **********

03

.lockbit扩展名勒索病毒其他信息

 

 

其背后的组织声称它是当今市场上速度最快的勒索软件变种之一;

针对中小企业;其善用RDP的弱口令攻击;

在大型网络中,则会通过使用Active Directory(AD) 组策略自动批量下发病毒,加密Windows域;

通过SMB连接到计算机,它将发出远程PowerShell命令来下载并执行勒索软件;

攻击目标包含中国、印度、印度尼西亚、澳大利亚、阿根廷、奥地利、比利时、巴西、英国、法国、德国、意大利、马来西亚、墨西哥、罗马尼亚、瑞士、英国以及美国。

行业目标包括会计、汽车、顾问、工程、财务、高科技、医疗、保险、执法单位、法律服务、制造业、非营利能源产业、零售业、物流业,以及公共事业领域等。

带有“网络”、“政策”、“保险”、“补充”、“条款”、“会计”、“财务”、“2020”、“2021”、“银行”、“声明”等关键词文件夹内的数据是攻击者最感兴趣的。

04

.lockbit后缀病毒截取到的工具

 


Lockbit勒索病毒对Windows AD域控有针对性攻击方法,比如使用mimikatz.exe;

在客户中毒设备上提取到多种密钥提取工具和内网渗透工具,如:

暂无数据
 

.lockbit后缀勒索病毒相关信息

—— 联系我们    Contact Us ——

24小时应急响应电话:15021662155 (微信同号)

 serve@grit.com.cn

样本提交 2012 - 2020 Copyright © 国瑞IT安全服务中心 沪ICP备09036178号 

添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了