LockBit Green 勒索软件:完整指南
LockBit Green 是 LockBit 勒索软件的新变种,最初由网络安全组织 VX-Underground 报告。它基于Conti 勒索软件源代码泄露LockBit Green 是 LockBit 勒索软件的第三个版本,之前的变种被追踪为 LockBit Red 和 LockBit Black。 LockBit RaaS 团伙发布了 LockBit Green,其附属机构可以使用 LockBit 门户上的构建器功能使用该软件。该团伙已经修改了他们的VMware ESXI 勒索软件变种,这是由 VMware 开发的企业级 1 类虚拟机管理程序,用于部署和提供虚拟机服务。SalvageData 专家建议采取主动数据安全措施,例如定期备份、强大的网络安全实践以及保持软件最新,以防止勒索软件攻击。和,如果发生勒索软件攻击,请联系我们勒索软件恢复专家立即地。
LockBit Green 是一种被称为勒索软件的恶意软件,它会对受害者的数据进行加密,然后要求赎金(通常以加密货币支付)以换取解密器。LockBit Green 使用一种新的基于 Conti 的加密器。勒索软件会对受害者的数据进行加密,并将随机扩展名附加到所有加密文件的文件名中。加密过程是自动的,并且针对跨 Windows 域的设备。AES 密钥是使用 BCryptGenRandom 生成的,为了更快地加密,它仅加密文件的前 4KB 并将其附加到随机扩展名。勒索软件通常通过命令行执行,因为如果需要仅加密特定路径,它会接受文件路径或目录的参数。
我们所知道的有关 LockBit Green 勒索软件的一切
确认姓名
- LockBit 绿色病毒
威胁类型
- 勒索软件
- 加密病毒
- 文件柜
- 双重勒索
加密文件扩展名
- 随机延伸
索要赎金的消息
- !!!-恢复我的文件-!!!.txt
检测名称
- 阿瓦斯特Win32:Conti-B [赎金]
- 平均电压Win32:Conti-B [赎金]
- 埃姆西软件基因:变体.Ser.Zusy.4033 (B)
- 恶意软件字节通用勒索文件加密器DDS
- 卡巴斯基UDS:危险对象.多.通用
- 索福斯Mal/通用-S
- 微软赎金:Win32/Conti.AD!MTB
分配方式
- 网络钓鱼电子邮件
- 受损的服务器。
- 暴力破解 VPN 凭证
- 利用漏洞。
- 社会工程
- 恶意广告和网站
- 利用远程桌面协议(RDP)
- 供应链攻击
结果
- 文件被加密并锁定,直到支付赎金为止
- 数据泄露
- 双重勒索
有免费的解密器吗?
不。目前没有已知的 LockBit Green 勒索软件公共解密器。
LockBit Green 勒索软件的 IOC 是什么?
妥协指标 (IOC) 是在网络或操作系统中观察到的伪影,可高度可信地指示计算机入侵。 IOC 可用于使用入侵检测系统和防病毒软件来及早检测未来的攻击企图。它们本质上是犯罪现场留下的证据的数字版本,潜在的 IOC 包括异常网络流量、来自外国的特权用户登录、奇怪的 DNS 请求、系统文件更改等。当检测到 IOC 时,安全团队会评估可能的威胁或验证其真实性。 IOC 还提供攻击者渗透网络后可以访问的内容的证据。LockBit Green 勒索软件的妥协指标 (IOC) 包括:
- 文件名中添加随机扩展名的加密文件
- 显示在受害者屏幕或文本文件中的勒索字条或消息
- 异常的网络流量或活动,例如大量数据被传输到未知位置
- 受害者系统上运行的可疑进程或服务
- 更改系统设置或配置,例如禁用安全软件或修改注册表项
如果检测到任何这些迹象,请将受影响的系统与网络隔离,并寻求合格的安全专业人员的帮助来调查和修复攻击,这一点很重要。还建议定期备份重要数据并实施安全最佳实践以防止勒索软件攻击。
LockBit Green 勒索软件文件哈希值
勒索软件哈希文件是唯一标识符,代表已被勒索软件加密的特定文件或文件集。这些哈希值可用于识别和跟踪勒索软件攻击,并为防病毒软件开发签名以检测和阻止勒索软件感染。LockBit Green 文件哈希值:
- 102679330f1e2cbf41885935ceeb2ab6596dae82925deec1aff3d90277ef6c8c
- 32eb4b7a4d612fac62e93003811e88fbc01b64281942c25f2af2a0c63cdbe7fa
- 5c5c5b25b51450a050f4b91cd2705c8242b0cfc1a0eaeb4149354dbb07979b83
- 7509761560866a2f7496eb113954ae221f31bc908ffcbacad52b61346880d9f3
- 924ec909e74a1d973d607e3ba1105a17e4337bd9a1c59ed5f9d3b4c25478fe11
- ac49a9ecd0932faea3659d34818a8ed4c48f40967c2f0988eeda7eb089ad93ca
- fc8668f6097560f79cea17cd60b868db581e51644b84f5ad71ba85c00f956225
- ffa0420c10f3d0ffd92db0091304f6ed60a267f747f4420191b5bfe7f4a513a9
LockBit Green 勒索信中包含什么内容
LockBit Green 的勒索字条与 LockBit Black 使用的勒索字条相同,勒索字条文件名已更改为“!!!-Restore-My-Files-!!!.txt”。LockBit Green 勒索字条指出数据已被窃取并加密,并警告如果不支付赎金,被盗数据将被泄露或出售。 LockBit Green 的命令行标志与 Conti v3 的命令行标志相同,使其成为原始源代码的衍生版本。需要注意的是,支付赎金并不能保证攻击者一定会提供解密密钥,并可能导致进一步的攻击。
如果您意识到自己是勒索软件受害者,请联系 SalvageData 勒索软件清除专家,为您提供安全的数据恢复服务并在攻击后清除勒索软件。
LockBit Green 勒索软件如何传播
LockBit Green 通过各种方式获取基于云的服务。以下是 LockBit Green 勒索软件可用于针对基于云的服务的一些方法:
- 利用漏洞。勒索软件可以利用云基础设施中的漏洞(例如错误配置或过时的软件)来获得未经授权的访问。这可能包括利用弱密码、未修补的软件或不安全的网络配置。
- 网络钓鱼和社会工程。勒索软件运营商可能会使用网络钓鱼电子邮件或其他社会工程技术来诱骗用户点击恶意链接或下载受感染的附件。这些电子邮件可以设计得看起来合法,并且可能包含令人信服的消息或冒充受信任的实体。
- 暴力破解 VPN 凭证。在某些情况下,LockBit Green 可能会通过暴力破解不安全的 VPN 凭证来到达。当使用弱密码或容易猜到的密码进行 VPN 访问时,可能会发生这种情况。
- 恶意广告和网站。勒索软件还可以通过恶意网站或受感染的网站进行分发。用户可能会在不知情的情况下访问受感染的网站或点击恶意广告,然后将勒索软件下载到他们的系统上并执行。
- 利用远程桌面协议(RDP)。勒索软件运营商可能会尝试利用薄弱或配置错误的远程桌面协议 (RDP) 连接来访问基于云的服务。一旦进入网络,它们就可以横向移动并感染其他系统。
- 供应链攻击。勒索软件还可以通过供应链攻击引入基于云的服务。这涉及危害受信任的软件供应商或服务提供商,并利用他们的访问权限向其客户分发勒索软件。
- 受损的服务器。LockBit 运营商经常通过受感染的服务器访问网络。他们可能会利用服务器软件中的漏洞,或通过从附属机构或其他威胁行为者处获得的受损凭据来获得访问权限。
LockBit Green 勒索软件如何感染计算机或网络?
LockBit Green 勒索软件的工作原理是使用新的基于 Conti 的加密器对受害者的数据进行加密。以下是加密过程通常如何工作的详细说明:
感染
LockBit Green 通过各种方式获取对计算机或网络的访问权限,例如网络钓鱼电子邮件、受感染的服务器或利用漏洞。
加密
一旦进入系统,LockBit Green 就会开始加密受害者的文件。它针对多种文件类型,包括文档、图像和视频。该勒索软件使用强大的加密算法来扰乱数据,使其在没有解密密钥的情况下无法访问。
文件扩展名
LockBit Green 会在所有加密文件的文件名后附加一个随机扩展名。该扩展名对于每个受害者来说都是唯一的,并用作勒索软件的标识符。
勒索信
加密文件后,LockBit Green 留下一张勒索字条。勒索信的具体内容可能有所不同,但通常会通知受害者其数据已被加密,并提供如何支付赎金以获得解密密钥的说明。
支付赎金
勒索字条包含有关如何联系勒索软件运营商并付款的详细信息。值得注意的是,支付赎金并不能保证文件一定会被解密,而且可能会鼓励进一步的攻击。
不要支付赎金!联系勒索软件删除服务不仅可以恢复您的文件,还可以消除任何潜在的威胁。
如何处理 LockBit Green 勒索软件攻击
重要的:识别 LockBit Green IOC 后的第一步是求助于您的事件响应计划 (IRP)。理想情况下,您拥有一支由值得信赖的专业团队组成的事件响应人员 (IRR),可以 24/7/365 联系,他们可以立即采取行动,防止数据丢失、减少或消除赎金支付,并帮助您承担任何法律责任。据我们所知,根据本文发表时所掌握的信息,勒索软件恢复专家团队将采取的第一步是通过断开受感染计算机与互联网的连接并删除任何连接来隔离受感染的计算机。同时,该团队将协助您联系您所在国家/地区的地方当局。对于美国居民和企业来说,当地联邦调查局外地办事处和网络犯罪投诉中心(IC3)。要报告勒索软件攻击,您必须收集有关勒索软件攻击的所有信息,包括:
- 勒索信截图
- 与 LockBit Green 参与者的沟通(如果有的话)
- 加密文件的示例
但是,如果您没有 IRP 或 IRR,您仍然可以联系勒索软件清除和恢复专业人员。这是最好的行动方案,大大增加了成功删除勒索软件、恢复数据和防止未来攻击的机会。我们建议您让每台受感染的机器保持原样并致电紧急勒索软件恢复服务.重新启动或关闭系统可能会影响恢复过程。捕获实时系统的 RAM 可能有助于获取加密密钥,捕获植入程序文件可能会被逆向工程并导致数据解密或了解其运行方式。
从 LockBit Green 勒索软件攻击中恢复时不应该做什么
你必须不删除勒索软件,并保留所有攻击证据。这对于数字取证这样专家就可以追溯到黑客组织并识别他们。当局可以通过使用受感染系统上的数据调查这次袭击并找到责任人。网络攻击调查与任何其他刑事调查没有什么不同:它需要证据来找到攻击者。
1. 联系您的事件响应提供商
网络事件响应是响应和管理网络安全事件的过程。事件响应保留者是与网络安全提供商签订的服务协议,允许组织获得有关网络安全事件的外部帮助。它通过安全合作伙伴为组织提供结构化形式的专业知识和支持,使他们能够在网络事件期间快速有效地做出响应。事件响应保留人员让组织高枕无忧,在网络安全事件发生之前和之后提供专家支持。事件响应保留程序的具体性质和结构将根据提供商和组织的要求而有所不同。良好的事件响应保留者应该强大而灵活,提供经过验证的服务来增强组织的长期安全态势。如果您联系您的 IR 服务提供商,他们会关心其他一切。但是,如果您决定与 IT 团队一起删除勒索软件并恢复文件,则可以按照以下步骤操作。
2. 识别勒索软件感染
你可以识别勒索软件通过文件扩展名感染您的计算机(某些勒索软件使用文件扩展名作为其名称),否则它将出现在勒索信中。有了这些信息,您就可以查找公共解密密钥。您还可以通过其 IOC 检查勒索软件类型。妥协指标 (IOC) 是网络安全专业人员用来识别网络或 IT 环境中的系统妥协和恶意活动的数字线索。它们本质上是犯罪现场留下的证据的数字版本,潜在的 IOC 包括异常的网络流量、来自外国的特权用户登录、奇怪的 DNS 请求、系统文件更改等等。当检测到 IOC 时,安全团队会评估可能的威胁或验证其真实性。 IOC 还提供攻击者渗透网络后可以访问的内容的证据。
3. 删除勒索软件并消除漏洞利用工具包
在恢复数据之前,您必须保证您的设备没有勒索软件,并且攻击者无法通过漏洞利用套件或其他漏洞进行新的攻击。勒索软件删除服务可以删除勒索软件、创建调查取证文档、消除漏洞并恢复数据。使用反恶意软件/反勒索软件来隔离和删除恶意软件。
重要的:通过联系勒索软件清除服务,您可以确保您的计算机和网络没有 LockBit Green 勒索软件的痕迹。此外,这些服务可以修补您的系统,防止新的攻击。
有关的:LockBit 3 勒索软件:它是什么以及如何预防和恢复
4.使用备份恢复数据
备份是恢复数据最有效的方法。确保保留每日或每周备份,具体取决于您的数据使用情况。
5.联系勒索软件恢复服务
如果您没有备份或需要帮助删除勒索软件和消除漏洞,请联系数据恢复服务。支付赎金并不能保证您的数据会归还给您。恢复每个文件的唯一有保证的方法是拥有该文件的备份。如果您不这样做,勒索软件数据恢复服务可以帮助您解密和恢复文件。SalvageData 专家可以安全地恢复您的文件并防止 LockBit Green 勒索软件再次攻击您的网络。请全天候 (24/7) 联系我们的专家以获得紧急恢复服务。
防止 LockBit Green 勒索软件攻击
防止勒索软件是数据安全的最佳解决方案。比从中恢复更容易、更便宜。 LockBit Green 勒索软件可能会毁掉您企业的未来,甚至关门大吉。以下是一些提示,可确保您可以避免勒索软件攻击:
- 安装防病毒和反恶意软件软件。
- 采用可靠的网络安全解决方案。
- 使用强而安全的密码。
- 保持软件和操作系统最新。
- 实施防火墙以增强保护。
- 制定数据恢复计划。
- 定期安排备份以保护您的数据。
- 请谨慎对待来自未知或可疑来源的电子邮件附件和下载。
- 在点击广告之前先验证广告的安全性。
- 仅访问来自可信来源的网站。
通过遵守这些做法,您可以增强在线安全并保护自己免受潜在威胁。
