|
病毒家族 | LockBit勒索软件即服务(RaaS)团伙 |
---|---|---|
病毒别名 | Lockbit2.0勒索软件 | |
影响系统 | Windows | |
出现时间 | 2019 |
局域网内设备批量被感染;所有文件被加密成.lock扩展名;系统部分服务、安全软件、进程被中止运行;日志被删除;病毒自销毁;
每台被感染设备产生不同Decryption ID和暗网.onion洋葱地址;
更改被感染设备桌面显示勒索信息;局域网内打印机自动打印勒索信息;
Restore-My-Files.txt
“LockBit 2.0 Ransomware
Your data are stolen and encrypted
The data will be published on TOR website http://**********.onion and https://bigblog.at if you do not pay the ransom
You can contact us and decrypt one file for free on these TOR sites
http://**********.onion
http://**********.onion
OR
https://decoding.at
Decryption ID: **********
”
其背后的组织声称它是当今市场上速度最快的勒索软件变种之一;
针对中小企业;其善用RDP的弱口令攻击;
在大型网络中,则会通过使用Active Directory(AD) 组策略自动批量下发病毒,加密Windows域;
通过SMB连接到计算机,它将发出远程PowerShell命令来下载并执行勒索软件;
攻击目标包含中国、印度、印度尼西亚、澳大利亚、阿根廷、奥地利、比利时、巴西、英国、法国、德国、意大利、马来西亚、墨西哥、罗马尼亚、瑞士、英国以及美国。
行业目标包括会计、汽车、顾问、工程、财务、高科技、医疗、保险、执法单位、法律服务、制造业、非营利能源产业、零售业、物流业,以及公共事业领域等。
带有“网络”、“政策”、“保险”、“补充”、“条款”、“会计”、“财务”、“2020”、“2021”、“银行”、“声明”等关键词文件夹内的数据是攻击者最感兴趣的。
Lockbit勒索病毒对Windows AD域控有针对性攻击方法,比如使用mimikatz.exe;
在客户中毒设备上提取到多种密钥提取工具和内网渗透工具,如: