病毒预报 第九百零六期
国家计算机病毒应急处理中心通过对互联网的监测,发现名为LockBit 2.0勒索软件。LockBit勒索软件即服务(RaaS)团伙加大了针对性攻击力度,为了对目标公司网络进行初始访问,LockBit团伙招募了成员和助手通过有效的远程桌面协议(RDP)帐户凭据对目标进行实际入侵。LockBit的创建者提供了一个方便的StealBit特洛伊木马变种,用于建立访问权限和自动泄露数据的。一旦进入系统,LockBit 2.0就会使用一整套工具来进行侦查。Network Scanner会评估网络结构并识别目标域控制器。它使用多个批处理文件从而达到不同目的,还会停止Microsoft Exchange并禁用其他相关服务。LockBit 2.0还滥用Process Hacker和PC Hunter等合法工具来终止受害系统中的进程和服务。研究人员指出,一旦进入域控制器,勒索软件就会创建新的组策略并将它们发送到网络上的每台设备。这些策略禁用Windows Defender并将勒索软件二进制文件分发和执行到每台Windows计算机。然后会在每个加密目录中放一张赎金便条,威胁双重勒索。便条一般会告诉受害者,文件被加密了,如果不付款就把它们公开发布。LockBit 2.0的最后一步是将受害者的桌面壁纸更改为上述广告,其中还包括有关受害者如何支付赎金的说明。
联系方式:
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心