近日 ， Lockbit2.0在其数据泄露网站发布了关于网络保险提供商、全球IT咨询巨头埃森哲遭受勒索攻击的相关新闻 。据悉 ， Lockbit团伙不仅加密了埃森哲2500台设备 ， 还从内网中窃取了6TB数据 ， 并发布警告称：若不在指定时间内支付5000万美元赎金 ， 将公开发布窃取到的全部数据 。不过 ， 广大政企的用户也无需担心 ， 因360安全大脑系统可对此类病毒威胁做出有效处理 。

文章图片

文章图片
7月中旬 ， Lockbit正式将病毒更新为Lockbit2.0版本 。此次更新有多个被关注点：一是 ， Lockbit2.0宣称是全世界加密最快的勒索软件 ， （之前REvil说自己是世界上加密速度最快、偷数据最快的勒索） ， 并贴出包括其之前版本的加密测试速度对比图；二是 ， 其窃取速度快 ， 20分钟可窃取100GB数据；三是 ， 其具备在域控内自动传播的能力 。

文章图片

文章图片

文章图片

文章图片
经360高级威胁研究分析中心研判分析 ， Lockbit之所以能够在全球多地同期传播 ， 定然具备大量传播分销商与多个攻击传播团伙 。Lockbit不仅在国外十分泛滥 ， 在国内也非常流行 ， 并针对不同企业会采用不同的攻击手法 。例如 ， 针对中小企业；其善用RDP的弱口令攻击；在大型网络中 ， 则会通过使用ActiveDirectory组策略自动批量下发病毒 ， 加密Windows域 。另外 ， 在被攻击的终端中 ， 360政企安全团队还发现了密钥提取工具和内网渗透工具 。

文章图片

文章图片
除此之外 ， Lockbit也会进行数据窃取与双重勒索 。据了解 ， 勒索软件团伙窃取数据时 ， 通过设置关键词 ， 在已获得权限的设备中来批量提取文件 。带有“网络”、“政策”、“保险”、“补充”、“条款”、“会计”、“财务”、“2020”、“2021”、“银行”、“声明”等关键词文件夹内的数据是攻击者最感兴趣的 。同时 ， 攻击者还会针对企业所属行业的特征 ， 来定向提取有价值的内容 。如：受害者是软件开发类型的公司 ， 那么软件、游戏源代码就会成为攻击者感兴趣的内容 。

文章图片

文章图片
从加密手段层面猜测 ， Lockbit2.0勒索病毒采用RSA+AES的加密方式 ， 是为方便作者调试 ， 其通过对系统语言的检测 ， 有意避开独联体地区的相关国家 ， 让加密效果最大化 ， 病毒会在系统中查找多大80个服务和105个进程 ， 一旦发现则结束对应的服务和进程 。同时它还会加密本地文件 ， 尝试连接远程IP、枚举网络资源 ， 以求进一步对可访问的网络数据进行加密 。该病毒的加密流程示意图如下：

文章图片

文章图片
一旦被加密 ， 则系统桌面会被修改：

文章图片

文章图片
系统中还会弹出如下形式的勒索信息提示窗口：

文章图片

文章图片
【360终端安全管理系统lockbit2.0安全管理系统更新】