近日，检测到国内有企业遭受到 lockbit 勒索病毒攻击，被加密破坏的文件添加了.Lockbit 后辍该病毒出现于 2019 年末，传播方式主要利用 RDP 口令爆破RDP（远程桌面协议）常用于

近日，检测到国内有企业遭受到 lockbit 勒索病毒攻击，被加密破坏的文件添加了.Lockbit 后辍该病毒出现于 2019 年末，传播方式主要利用 RDP 口令爆破RDP（远程桌面协议）常用于远程桌面控制，远程办公、远程连接服务器主机管理、堡垒机登录等。

经分析，该病毒使用 RSA+AES 算法加密文件，加密过程采用了 IOCP 完成端口+AES-NI 指令集提升其病毒工作效率，从而实现对文件的高性能加密流程由于该病毒暂无有效的解密工具，被攻击后文件无法恢复，需定期对重要文件和数据（数据库等数据）进行非本地备份。

不法分子首先探测 RDP 端口开放情况，通过爆破 RDP 弱口令连接受害机，远程投递勒索病毒恶意文件该病毒首先采用了 IOCP（输入/输入完成端口）来提高自身对文件加密的性能，对文件加密所使用的算法为 RSA+AES，且会对主机的 CPU 进行检测是否支持 AES-NI。

加密文件后，文件均被添加.lockbit 扩展后缀且加密后会删除系统对系统卷的备份信息，这将导致无法通过恢复磁盘等方法来恢复文件同时会修改桌面壁纸，在系统重启后无法进入桌面，而是直接跳转到一张图片以及一封名为 Restore-My-Files.txt 勒索信，要求用户登录暗网缴纳赎金，一般情况下，通过 RSA 和 AES 加密算法，解密时需要私钥，否则无法解密。

此外，该病毒还会对局域网进行嗅探，探测局域网内主机是否开放 135，445端口，如果开放则尝试遍历其主机内的共享资源进行加密建议采取以下防范措施1.尽量关闭不必要的端口，如：445、135，139 等，对 3389，5900 等端口可进行白名单配置，只允许白名单内的 IP 连接登陆。

2.尽量关闭不必要的文件共享，如有需要，请使用 ACL 和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问3.采用高强度的密码，避免使用弱口令密码，并定期更换建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

网管可通过强制安全策略要求局域网所有服务器、终端系统使用强密码并设定密码过期策略4.对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器5.对重要文件和数据（数据库等数据）进行定期非本地备份。

6.加强人员安全意识培训，谨慎下载陌生邮件附件，若非必要，应禁止启用 Office 宏代码7.若主机或终端设备感染勒索病毒，应立即断开网络通信，防止病毒在局域网内进一步扩散，并对主机进行风险排查来源 网信佛山。

举报/反馈

免责声明：本站所有信息均搜集自互联网，并不代表本站观点，本站不对其真实合法性负责。如有信息侵犯了您的权益，请告知，本站将立刻处理。联系QQ：1640731186