LockBit 3 勒索軟件：它是什麼以及如何預防和恢復

LockBit 3 勒索軟件，也稱為 LockBit Black，是 LockBit 勒索軟件的變種。它會加密文件並將其名稱更改為字母的組合，修改文件的擴展名，還更改桌面壁紙。另外，LockBit Black 勒索軟件會向桌面添加一個名為 [random_string].README.txt 的文本文件。這是一種危險的勒索軟件，其活動不斷增加，每天都會感染更多系統。 2022 年第四季度，僅 LockBit 3 就造成了 21% 的勒索軟件攻擊，總計40 起事件據信，LockBit 3.0 黑客與全球分支機構合作。其中一種 LockBit 變體以 VMware ESXi 服務器 (LockBit ESXi) 為目標，而該組織最近也開始針對 macOS。

LockBit 3.0 是勒索軟件，是一種惡意軟件，它會加密和鎖定受害者的文件，然後請求贖金以換取解密密鑰。 LockBit 3.0 是 LockBit 勒索軟件的最新版本，於 2022 年 3 月首次發現，被網絡犯罪分子用來對毫無戒心的受害者進行勒索攻擊。它比以前的版本更加模塊化和隱蔽，並且與 BlackMatter 和其他勒索軟件系列有相似之處。一旦 LockBit 3.0 在系統上執行，它將自動審查系統中的文件以加密並修改其文件名，其擴展名如 Linux 變體中的 .lockbit 或 .lockedbit。相比之下，在 Windows 變體上，擴展名是字符的混合。然後，它會顯示一張勒索信，要求受害者付款，以便他們重新獲得數據訪問權限。

識別 LockBit 3 勒索軟件

你可以識別LockBit 3通過計算機上的一些症狀和跡象。一旦您意識到自己是網絡攻擊的受害者，請立即聯繫當地當局，斷開計算機與互聯網的連接，並從計算機中刪除任何設備（例如外部 SSD 或閃存驅動器）。確認姓名

• LockBit 3.0 病毒

威脅類型

• 勒索軟件

• 加密病毒

• 文件櫃

加密文件擴展名

• 隨機生成的擴展名

索要贖金的消息

• [隨機字符串].README.txt

有免費的解密器嗎？

• 不，LockBit 3 沒有公共解密密鑰

檢測名稱

• 阿瓦斯特Win32:CrypterX-gen [Trj]

• 埃姆西軟件Gen:Trojan.Heur.UT.kuW@aG4Vbyc (B)

• 卡巴斯基UDS:木馬.Multi.GenericML.xnet

• 惡意軟件字節勒索.LockBit

• 微軟木馬:Win32/Casdet!rfn

• 索福斯Troj/Lockbit-F

症狀

• 無法打開計算機上存儲的文件
• 新的文件擴展名
• 您桌面上的勒索贖金消息
• 用隨機字母重命名的文件

勒索軟件家族、類型和變種

• Lockbit 3.0 也稱為 LockBit Black

• 它是 LockerGoga 和 MegaCortex 惡意軟件家族的一部分

• 它是LockBit勒索軟件的新變種

• 這是 BlackMatter 勒索軟件類型

分配方式

• 受感染的電子郵件附件（網絡釣魚電子郵件）

• Torrent 網站（受感染的鏈接或文件）

• 惡意廣告（惡意廣告）

結果

• 鎖定的文件
• 密碼被盜
• 數據洩露

預防

• 防病毒和反惡意軟件
• 更新軟件
• 更新的操作系統 (OS)
• 防火牆
• 不要打開來源不明的電子郵件附件
• 不要從可疑網站下載文件
• 除非您確定安全，否則請勿點擊廣告
• 僅訪問來自可靠來源的網站

LockBit 3.0勒索軟件惡意域名：

• https://www.premiumize[.]com
• https://anonfiles[.]com
• https://www.sendspace[.]com
• https://fex[.]net
• https://傳輸[.]sh
• https://send.exploit[.]in
• *https://lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead.onion/

*黑客組域只能通過 Tor 瀏覽器訪問。

LockBit 3 如何感染您的計算機

與任何網絡攻擊一樣，LockBit 3 有多種方式進入您的系統並竊取和鎖定您的數據。大多數時候，人為錯誤是造成感染的原因。例如，當您或不知情的員工點擊電子郵件鏈接或下載其附件時。許多黑客使用偽裝成合法的網絡釣魚電子郵件來欺騙受害者並說服他們點擊附件。避免這些電子郵件的一個好方法是使用阻止惡意電子郵件發送給您的電子郵件提供商。此外，還要查找語法錯誤，而不僅僅是拼寫錯誤。大多數虛假電子郵件都具有您可以輕鬆識別的語法 eros。盜版文件和軟件也可能成為勒索軟件的門戶。此外，盜版電影、音樂和軟件都是非法的，在道德上應受到譴責。 LockBit 3 攻擊發生的另一種方式是通過不安全的外部遠程服務。攻擊者將利用其憑據已知、重複使用、脆弱或改寫的遠程桌面協議 (RDP) 工具來訪問企業網絡並洩露數據。黑客也使用具有已知漏洞的軟件來攻擊企業。這就是為什麼保持每個軟件更新並保護 RDP 等遠程管理工具非常重要。

LockBit 3 加密和勒索信

LockBit 3 勒索字條不僅聲明數據被盜並加密，還警告如果受害者不支付贖金，攻擊者組織將在暗網上（Tor 網站）發布數據。文本還指示使用提供的網站和個人 ID 與攻擊者聯繫。在您受到 LockBit 3 勒索軟件攻擊後，您可以在桌面上看到以下字母文本文件：

~~~LockBit 3.0 2019年全球最快、最穩定的勒索軟件~~~

>>>>> 您的數據被盜並被加密。

如果您不支付贖金，數據將發佈在我們的 TOR 暗網網站上。請記住，一旦您的數據出現在我們的洩露網站上，您的競爭對手隨時可能會購買它，因此請不要猶豫太久。您越早支付贖金，您的公司就越早安全。

不要支付贖金。除了非法之外，支付贖金還會帶來製裁等嚴重後果，此外還存在資助犯罪活動的道德和倫理問題。支付贖金不保證您會獲得鑰匙或它會起作用。

LockBit 3 是如何工作的

LockBit 3 勒索軟件分為三個階段：利用、滲透和部署。

1.利用

第一階段是利用網絡的弱點。任何漏洞，例如開放的 RDP 和未更新的安全軟件，都是網絡攻擊的門戶。此外，網絡釣魚電子郵件和惡意廣告也是網絡攻擊者利用漏洞的其他方式。

2. 滲透

在此階段，LockBit 3 將感染任何其他連接的機器。因此，刪除連接到受感染機器的所有設備並將其從互聯網上疏通，以抑制惡意軟件。它將通過橫向移動在網絡中傳播，並達到攻擊準備級別的訪問權限。在滲透階段，LockBit 3 攻擊者收集信息、提升權限、在網絡中橫向移動並竊取數據。

3. 部署

在此階段，LockBit 3.0 會刪除所有還原點和備份，停止特定服務，然後開始鎖定和加密每個文件。 LockBit 3 是最快的勒索軟件之一，可以非常快速地加密您的數據。目的是使恢復變得不可能或延遲恢復，從而導致長時間停機，從而損害甚至毀掉您的商業聲譽。此時，您可以看到勒索信和壁紙。現在是時候決定是否要遵循犯罪分子的要求（不建議這樣做）或按照步驟安全地恢復加密文件。

防止LockBit 3勒索軟件攻擊

我們已經提到了幾種可以防止 LockBit 3 勒索軟件攻擊的方法。以下是如何確保數據和業務安全的完整列表。您可以通過消除弱點來防止勒索軟件。為此，您可以保持所有軟件更新，並通過對您的團隊進行網絡威脅培訓來提高網絡安全意識。

了解更多：LockBit 勒索軟件：針對最多產網絡威脅的綜合指南

1.使用強密碼

始終為每個帳戶使用強大且唯一的密碼，並且僅與必要的人員共享它們。例如，如果員工不需要網站帳戶或軟件來工作，他們就不需要訪問它。這可以保證只有授權人員才能訪問每個公司帳戶。

2.應用多重身份驗證

您可以使用雙因素身份驗證或生物識別解鎖來確保只有授權人員才能訪問文件夾、設備或帳戶。

3. 刪除過時和未使用的用戶帳戶

未使用的帳戶是黑客可以利用的漏洞。停用並關閉未使用的帳戶以及過去員工使用的帳戶。

4. 保持軟件更新

如前所述，過時的軟件是一個弱點。這是因為新的更新可以針對新型惡意軟件（例如 LockBit 3）提供防護。

5.安排定期備份

至少保留三份數據副本，其中至少一份離線和異地存儲。這可以保證，即使您遭受自然或人為災難（如勒索軟件），您的數據始終安全。定期備份可以防止停機並確保您永遠不會丟失任何敏感數據。

6.使用網絡安全解決方案

您可以擁有 IT 團隊來保證您的業務安全，也可以聘請網絡安全服務。無論哪種方式，您都必須尋找網絡中的漏洞，例如後門、漏洞利用工具包和 YouTube 軟件。

7. 制定恢復計劃

數據恢復計劃是指導發生災難時該怎麼做的文檔。這可以幫助您更快、更安全地恢復業務。通過我們的深入指南了解如何創建數據恢復計劃。

如何應對 LockBit 3 攻擊

從 LockBit 3 攻擊中恢復的第一步是隔離受感染的計算機通過斷開與互聯網的連接並刪除所有連接的設備。那麼，你必須聯繫地方當局。就美國居民和企業而言，當地聯邦調查局外地辦事處和網絡犯罪投訴中心（IC3）要報告勒索軟件攻擊，您必須收集有關勒索軟件攻擊的所有信息，包括：

• 勒索信截圖
• 與 LockBit 3.0 參與者的通信（如果有的話）
• 加密文件示例

您還必須調查勒索軟件在您網絡上的擴展情況。為此，您可以創建取證調查並查看是否有任何數據被洩露。勒索軟件恢復服務可以幫助您進行此調查。您不得刪除勒索軟件，並保留所有攻擊證據。這對於數字取證非常重要，因此專家可以追溯到黑客組織並識別他們。正在使用受感染系統上的數據，以便當局調查攻擊並找到責任人。網絡攻擊調查與任何其他刑事調查沒有什麼不同：它需要證據來找到攻擊者。隔離設備並聯繫當局後，您必須按照以下步驟取回數據：

1. 聯繫您的事件響應人員

網絡事件響應是響應和管理網絡安全事件的過程。事件響應保留者是與網絡安全提供商簽訂的服務協議，允許組織獲​​得有關網絡安全事件的外部幫助。它通過安全合作夥伴為組織提供結構化形式的專業知識和支持，使他們能夠在發生網絡事件時快速有效地做出響應。事件響應保留人員讓組織高枕無憂，在網絡安全事件發生之前和之後提供專家支持。事件響應保留器的具體性質和結構將根據提供商和組織的要求而變化。良好的事件響應保留者應該強大而靈活，提供經過驗證的服務來增強組織的長期安全態勢。

2. 識別勒索軟件感染

您可以通過文件擴展名檢查哪些勒索軟件感染了您的計算機（某些勒索軟件使用文件擴展名作為其名稱），或者它會出現在勒索字條上。有了這些信息，您就可以查找公共解密密鑰。然而，LockBit 3 還沒有它。

3. 刪除勒索軟件並消除漏洞利用工具包

在恢復數據之前，您必須保證您的設備沒有勒索軟件，並且攻擊者無法通過漏洞利用套件或其他漏洞進行新的攻擊。勒索軟件刪除服務可以刪除勒索軟件、創建用於調查的取證文檔、消除漏洞並恢復數據。

4.使用備份恢復數據

備份是恢復數據最有效的方法。確保保留每日或每周備份，具體取決於您的數據使用情況。

5.聯繫勒索軟件恢復服務

如果您沒有備份或需要幫助刪除勒索軟件並消除漏洞，您應該聯繫數據恢復服務。 SalvageData 專家可以安全地恢復您的文件並保證 Clop 勒索軟件不會再次攻擊您的網絡。 SalvageData 專家可以安全地恢復您的文件並保證 LockBit 3 勒索軟件不會再次攻擊您的網絡。 24/7 聯繫我們的專家獲取緊急恢復服務或查找您附近的恢復中心。