天際友盟：?勒索軟件系列報告之一-LockBit勒索軟件進階之路（20頁）.pdf

《天際友盟：?勒索軟件系列報告之一-LockBit勒索軟件進階之路（20頁）.pdf》由會員分享，可在線閱讀，更多相關《天際友盟：?勒索軟件系列報告之一-LockBit勒索軟件進階之路（20頁）.pdf（20頁珍藏版）》請在三個皮匠報告上搜索。

1、LockBit 勒索軟件進階之路LockBit 勒索軟件進階之路2022-11雙子座實驗室LockBit 勒索軟件進階之路勒索軟件系列報告之一LockBit 勒索軟件進階之路目錄CONTENTS01 背景02 LockBit 的進階之路03 技術細節剖析04 重點攻擊國家及行業05 重大攻擊事件盤點06 總結與發展趨勢07 附錄3LockBit 勒索軟件進階之路LockBit 勒索軟件進階之路世界經濟論壇發布的2022 年全球網絡安全展望報告顯示，勒索軟件攻擊在全球網絡領導者網絡威脅關心問題中排名第一，成為全球廣泛關注的網絡安全難題。本系列報告正是以當前最為活躍的勒索軟件攻擊為主題展開，聚焦暗

2、網中多個活躍的勒索軟件組織或團伙，梳理各個勒索軟件的發展階段、剖析關鍵技術細節、盤點重大攻擊事件，對勒索軟件組織或團伙進行全面畫像，希望為未來應對勒索軟件攻擊提供有力的參考。前言4LockBit 勒索軟件進階之路背景011.1 勒索軟件攻擊活動猖獗1.2 LockBit 勒索軟件脫穎而出IBM 發布的威脅情報指數（2022）報告指出，勒索軟件攻擊高居網絡安全威脅榜首，且一個勒索軟件團伙在停止運營或改頭換面之前的平均壽命長達 17 個月。Cyber Security Ventures 的分析結果表明，到 2022 年，全世界每 11 秒就會發生一次勒索軟件攻擊，與 2019 年每 14 秒一次攻

3、擊的預測相比，攻擊數量增加了約 20%。隨著勒索軟件威脅的不斷加劇，一旦目標中招，目標受害者可能面臨運營中斷、機密信息被盜、贖金支付等損失。據 Resecurity 調查發現，自 2020 年以來，全球平均勒索軟件支付增加了 82%，在 2021 年上半年創下 57 萬美元的歷史新高，而到 2022 年幾乎翻了一番。根據預測，到 2031 年，全球勒索軟件勒索活動將達到 2650 億美元，對全球企業造成的總損失將達到 10.5 萬億美元。勒索軟件造成的費用損失將超過自然災害，并將是信息世界長期存在的威脅。從以上數據可以看出，勒索軟件已成為目前最具威脅的網絡攻擊，且呈現逐年大規模增加的趨勢。同時

4、伴隨著勒索軟件即服務（RaaS）的出現，使得勒索軟件產業越發成熟，攻擊者可能無需任何專業技術知識，就可以毫不費力地發起網絡攻擊和敲詐活動。在過去的幾年里，一些高調的勒索團伙活動頻繁登上新聞頭條，其中，LockBit 團伙更是脫穎而出，成為其中的佼佼者。Malwarebytes 公司在最近發布的一份研究報告聲稱 LockBit 是目前全球最猖獗的一個勒索軟件團伙。這篇報告我們就來詳細介紹一下這個目前最為活躍的勒索團伙LockBit。LockBit 也被稱為 Bitwise Spider，起源于俄羅斯，遵循 RaaS 運營模式，贖金由 LockBit 開發人員團隊和發起攻擊的會員分配，后者最多可獲

5、得 3/4 的贖金，且后期主要采用“雙重勒索”策略（文件加密+數據披露）來敲詐受害者。LockBit 目前攻擊的受害者數量已高達一千多個，約為著名勒索團伙 Revil 的 5 倍，Conti 的 2 倍。此外，網絡安全供應商 Digital Shadows 的報告顯示，在 2022 年第二季度勒索軟件攻擊事件中，LockBit 占到了 33%。今年 6 月，Unit 42 發布報告稱，截至 5 月份，LockBit貢獻了2022年所有勒索軟件相關攻擊事件中的46%，導致全球850多家組織淪為受害者，可見其威脅之大。LockBit 團伙的同名惡意軟件于 2019 年首次浮出水面，由于其不斷采用新

6、的策略、技術和支付方式，經不斷發展和演變，現已成為勒索軟件領域作案最為頻繁的威脅團伙之一。為有效抵抗該勒索軟件的攻擊，我們需要了解LockBit 勒索軟件的變化之路，預測其未來發展趨勢，以便更好的抵御其攻擊。5LockBit 勒索軟件進階之路LockBit 勒索軟件進階之路在安全領域的不斷對抗中，勒索軟件通常需要不斷變種升級。作為現今最活躍的勒索軟件，LockBit 從 2019 年至 2022 年，可謂經歷了三次重大蛻變。LockBit 的進階之路022.1 LockBit 1.0 初出茅廬2.2 LockBit 2.0 大殺四方2019 年 9 月，勒索病毒“LockBit”首次暴露在大家

7、的視野中，此前由于加密文件擴展名為.abcd，也被稱為“ABCD病毒”。LockBit 1.0 于 2020 年初推出了 RaaS 聯盟計劃，并在當年增加了數據泄露勒索，但由于其運營剛剛起步，影響范圍較小。LockBit 1.0 針對 Windows 系統，采用 RSA+AES 算法加密文件，加密過程采用了 IOCP 完成端口+AES-NI 指令集以提升工作效率，從而實現高性能加密流程。加密文件結束后，文件均被添加.abcd 擴展后綴，且無法解密。成功加密文件后，該勒索軟件修改受害者系統桌面壁紙以顯示勒索信息，并留下名為Restore-My-Files.txt的勒索信（如圖 1），要求用戶登錄

8、暗網繳納贖金，且贖金須為比特幣和門羅幣兩種形式。經過不斷的演變，2021 年 6 月，LockBit 以 LockBit 2.0 的新面貌展現在公眾面前。自 LockBit 2.0 發布后，有關 LockBit 的攻擊活動明顯增加，且 LockBit 2.0 是 2021 年以來最具影響力和最活躍的勒索軟件家族之一。隨著 Linux-ESXI Locker 1.0 版的發布，LockBit 擴展到 Linux 主機，同時支持 Windows 和 Linux 操作系統。該變種與一代相比，功能行為十分相似且攻擊手法依舊延續之前的特點，加密方式仍然采用常見的 RSA+AES 組合。加密后文件擴展名均

9、為.lockbit。此外，LockBit 勒索團伙號稱 LockBit 2.0 是全世界加密速度最快的勒索軟件，一分鐘內大約可以加密 25,000 個文件。其加入的磁盤卷影和日志文件刪除等新功能，使得加密后文件更難恢復。與此同時，LockBit 2.0 推出了專用竊密木馬 StealBit，該工具可將獲得的數據直接上傳到 LockBit 的服務器，以對受害者進行雙重勒索攻擊。其竊取速度極快，20 分鐘可竊取 100GB 數據并且具備在域控內自動傳播的能力。圖 1 LockBit 1.0 贖金票據及桌面壁紙6LockBit 勒索軟件進階之路2022 年 6 月，LockBit 勒索軟件再次完成升

10、級，并于 2022 年 7 月推出 LockBit 3.0 正式版本。該勒索病毒 3.0版本推出來僅 2 個多月的時間，就在其暗網網站上公布了二百多個受害者，可見其攻擊頻率之高。LockBit 3.0 部分代碼似乎借鑒了 BlackMatter 勒索軟件，因此 LockBit 3.0 又被稱為 LockBit Black。該勒索軟件持續針對 Windows+Linux 系統，采用 AES+RSA 算法加密文件，更改桌面墻紙（如圖 3），但贖金票據不再名為Restore-My-Files.txt，而是一個名為“random_string.README.txt”）的隨機動態文本（如圖 4），加密擴

11、展名變化為“HLJkNskoq”或“19MqzqzOs”隨機靜態形式，且鎖定文件的圖標為 ico 形式。2.3 LockBit 3.0 更進一步成功加密后，LockBit 2.0 版本的勒索軟件侵入受害者的電腦后同樣會更換電腦壁紙，并留下名為 Restore-My-Files.txt 的勒索信（如圖 2），內容稍有不同，但均要求受害者訪問他們在暗網的頁面。在 LockBit 團隊的宣傳中，LockBit 2.0 版本提供了更加豐富的配套服務。如：Tor 網絡中的管理面板、自動進行解密測試服務、強大的掃描器功能等。隨著 LockBit 3.0 版本的發布，該勒索軟件團伙還引入了第一個漏洞賞金計劃

12、，對提供漏洞的安全人員給予獎勵。同時還為 LockBit 3.0 設立了新的暗網網站，并增加了 Zcash 加密貨幣支付手段。圖 2 LockBit 2.0 贖金票據及桌面壁紙圖 3 LockBit 3.0 桌面壁紙圖 4 LockBit 3.0 贖金票據7LockBit 勒索軟件進階之路LockBit 勒索軟件進階之路作為 RaaS 運行的 LockBit 感染鏈通?？刹捎貌煌牟呗院凸ぞ?，以下是觀察到的 LockBit 變種的部分感染鏈示意圖。圖 5 為 LockBit 1.0 在獲得系統訪問權限后使用 PowerShell Empire 執行命令和控制的過程：CompromisedIIS

13、 ServerBrute forced VPN serverPowerShell scriptSMB/MicrosoftRASBackdoor(PowerShell Empire)LockBit 1.0ransomwareLockBit 1.0 ransomwareLockBit 1.0 ransomwarePowerShell command圖 6 為 LockBit 1.0 使用 SMB/Microsoft RAS 訪問系統的過程2.4 LockBit 三個版本對比3.1 感染鏈名稱LockBitLockBit 2.0 LockBit 3.0出現時間2019.92021.62022.6加密

14、算法AES+RSA加密后綴.abcd.lockbit.HLJkNskoq/.19MqzqzOs是否可解密暫未發現解密工具加密系統WindowsWindows+Linux索要贖金支付方式比特幣、門羅幣比特幣、門羅幣、Zcash勒索策略雙重勒索(文件加密+數據披露)運營方式Raas(勒索軟件及服務)勒索信Restore-My-Files.txtrandom_string.README.txt技術細節剖析03圖 5圖 68LockBit 勒索軟件進階之路圖 7圖 8圖 9圖 7 為 LockiBt 1.0 在獲得系統訪問權限后使用 Meterpreter 執行命令和控制的過程：圖 8 為 LockB

15、it 1.0 在獲得系統訪問權限后直接部署有效負載的過程：圖 9 為 LockBit 2.0 使用 StealBit 竊取木馬獲取數據的過程：Brute forced VPN serverPsExecMeterpreterGMERMimikatzFreeFilesync(MEGA)PsGetSIDLockBit 1.0 ransomwareBrute forced VPN/RDPScvhost toolHakops keylogger 15 Valid accountsPC Hunter/Process hacker/Group policyBATfilesStealbitNetworkser

16、verLockBit 2.0 ransomwareGMERGroup policy/PowerShellLockBit1.0ransomwareLockBitdesktop locker9LockBit 勒索軟件進階之路LockBit 勒索軟件進階之路圖 10 為 LockBit 3.0 使用 Amadey Bot 惡意軟件進行分發的過程：通過對以上 LockBit 勒索軟件不同版本感染鏈示意圖的觀察，可以發現，雖然 LockBit 具有多種多樣的感染策略，但其基本流程和核心目的一致，接下來我們將提煉出其主要攻擊過程。圖 10LockBit 勒索軟件的攻擊過程大致可以分為初始入侵、深入滲透及目

17、標達成三個階段。3.2.1 初始入侵在以往活動中，LockBit 運營商主要采用了三種策略獲取初始訪問權限。第一招為單刀直入式。攻擊者從地下論壇或關聯公司處購買 RDP 賬戶，也通過暴力破解 RDP 賬戶或內部服務器的方式直接遠程登錄目標用戶系統。第二招為迂回包抄式。攻擊者采用社會工程學策略，通過開展釣魚活動，向目標用戶發送帶有惡意附件的網絡釣魚電子郵件，冒充受信任的個人或權威機構請求訪問憑據或間接誘導受害者下載可安裝其它惡意軟件的有效負載。第三招為大刀闊斧式。攻擊者借助大規模的漏洞掃描行動定位潛在目標，利用流行的應用程序漏洞（例如最常被利用的 Fortinet VPN 的 CVE-2018-

18、13379 漏洞）提升權限后獲取初始感染機會。值得注意的是，LockBit 為躲避法律制裁，會特意避開俄羅斯或獨聯體的其他國家。3.2.2 深入滲透據研究調查，LockBit 在加密數據之前通常在企業環境中潛伏很長時間。在此階段，LockBit 將進一步提升權限，探測內部網絡敏感數據，擴大感染面以加大受害者繳納贖金的機率。獲取初始訪問權限后，LockBit 勒索軟件便開始獨立運作并進行深入滲透。其首先通過 Powershell Empire 和Windows 命令行或誘餌文件得以加載執行。為實現持久性，其通常會在受害者系統上使用混淆的 PowerShell、批處理腳本或執行創建惡意的計劃任務操

19、作。為進一步擴大感染面，LockBit 主要通過各種工具來擴展他們對其他系統的訪問權限。例如利用 Mimikatz 憑證轉儲工具、ProxyShell 等權限提升工具進一步竊取如域管理員賬戶在內的特權憑據。與此同時，AdFind 等網絡和端口掃描工具常被 LockBit 用于定位域控制器以枚舉受害者網絡中連接的機器。一旦 LockBit 利用收集到的憑據進入域控制器，其將使用 Active Directory 組策略通過 SMB 連接傳播到其他系統。在某些情況下，它也會依靠 PsExec 或 Cobalt Strike 等遠程執行軟件在網絡中進行橫向移動。執行時，勒索軟件將禁用 Windows

20、 卷影副本，并刪除各種系統和安全日志。當然，這一切都基于惡意軟件不被查殺的情況。為了躲避受害3.2 攻擊過程Pishing MailexecutionDownload Amadey LockBit 3.0 ransomwareLocked10LockBit 勒索軟件進階之路者系統安全防護產品的檢測，LockBit 通常會利用 GMER、PC Hunter 和 Process Hacker 等工具禁用安全軟件，或直接利用域管理員權限創建組策略的操作來關閉系統防護。此外，它還通過偽裝成常見的 PNG 圖像文件格式來隱藏可執行文件，進一步欺騙系統防御。3.2.3 目標達成LockBit 在感染多臺主

21、機后就到了實施加密和滲出的關鍵步驟。加密環節，LockBit 會收集例如主機名、域信息、本地驅動器配置、遠程共享和掛載的存儲設備等系統信息，然后開始加密其可以訪問的本地和遠程設備上的所有數據。但是，它會跳過影響系統運行的文件。加密過程采用 AES算法加密文件，并使用 RSA 公鑰對 AES 密鑰進行加密，其中 AES 密鑰由 BCryptGenRandom 生成。加密后受害者只能通過 LockBit 專有解密工具解鎖其系統文件。LockBit 最后將會通過連接的打印機使用 WinSpool API 打印其勒索票據，并且修改桌面壁紙以警告受害者已遭受勒索攻擊。滲出環節，LockbBit 通過 M

22、EGA 或 FreeFileSync 等云存儲工具上傳獲取的文件，有時也會使用 StealBit 竊密木馬盜取用戶數據文件以執行雙重勒索操作迫使受害者繳納贖金。通過對公開報道的 LockBit 重大勒索事件數據進行統計（如圖 11）可以看出，目前，LockBit 勒索軟件攻擊范圍遍及北美、歐洲和亞太地區，似乎并無國界之分。其中，美國、法國、英國、中國等國家為重災區。此外，LockBit 的攻擊目標并不局限于某一特定組織，其目標行業來自各行各業，且尤其青睞軟件和信息技術、制造、政府、網絡安全、國防等關鍵行業。值得讓人思考的是，此前 LockBit 團伙聲稱他們不會攻擊醫療保健行業，但數據表明，該

23、團伙的言行明顯自相矛盾。據分析可得出，LockBit 勒索軟件團伙及其附屬機構實質上為機會主義攻擊者，其對攻擊目標的選擇，通常與地理區域或行業無關，可能與目標網絡的可達性、攻擊成功的機會、以及受害者支付大額贖金的能力等因素有關。重點攻擊國家及行業04圖 11 重點攻擊國家意大利 9%加拿大 9%美國 14%中國 12%法國 14%愛爾蘭3%墨西哥3%瑞士 3%泰國6%德國6%巴西 6%印度 3%英國 12%11LockBit 勒索軟件進階之路LockBit 勒索軟件進階之路近兩年 LockBit 重大攻擊事件記錄表：重大攻擊事件盤點05圖 12 重點攻擊行業時間攻擊對象描述攻擊行業攻擊國家/地

24、區2020.10印度報業公司 PTI(Press Trust of India s)出版印度2020.12瑞士直升機制造商 Kopter制造瑞士2021.1法國司法部政府法國2021.4英國鐵路網站 Merseyrail運輸英國2021.5中國某日進公司服務器其它中國2021.5加拿大空軍關鍵供應商 Top Aces國防加拿大2021.8全球 IT 咨詢巨頭財富 500 強公司埃森哲軟件和信息技術愛爾蘭2021.8意大利風電運營商 ERG能源意大利2021.8意大利拉齊奧地區 IT 系統（包括 COVID-19 疫苗接種登記網站）軟件和信息技術意大利2021.8泰國曼谷航空公司航空航天泰國20

25、21.11中國西北某公司其它中國2022.1法國司法部政府法國2022.3中國南京某企業其它中國2022.3普利司通美洲公司輪胎制造商 Bridgestone Americas制造美國軟件和信息技術14%其他 11%保險 3%網絡安全8%政府 11%國防 8%醫療/醫院5%汽車 5%商業 3%金融 3%能源3%運輸3%酒店 3%運營商3%出版 3%銀行 3%航空航天3%制造 11%12LockBit 勒索軟件進階之路2022.4德國 EKZ 公司圖書館借閱程序 Onleihe軟件和信息技術德國2022.4南美洲金融中心里約熱內盧州財政系統金融巴西2022.4美國地區政府機構政府美國2022.4

26、中國江西新余市某企業其它中國2022.5加拿大、德國軍方的獨家戰機培訓供應商 Top Aces國防加拿大2022.5富士康墨西哥生產工廠制造墨西哥2022.6日本汽車零件制造商豐田紡織旗下公司 TB Kawashima 泰國分銷機構制造泰國2022.6谷歌威脅情報領域子公司 Mandiant網絡安全美國2022.6阿根廷衛生服務網站 OSDE醫療阿根廷2022.6北美數字安全巨頭 Entrust網絡安全加拿大2022.7意大利稅務局（Agenzia delle Entrate）政府意大利2022.7法國電信公司 La Poste Mobile運營商法國2022.8安全機構 Sophos網絡安全

27、美國2022.8法國巴黎的南法蘭西林中心醫院（CHSF）醫院法國2022.9英國跨國公司 IHG 酒店酒店英國2022.10微軟 Exchange 服務器軟件和信息技術其它2022.10巴西政府控制的巴西利亞銀行銀行巴西2022.10日本科技公司 Oomiya IT 基礎設施軟件和信息技術日本2022.10英國保險公司 Kingfisher Insurance保險英國2022.10英國汽車經銷商 Pendragon汽車英國2022.10法國國防和技術集團泰雷茲（Thales)國防法國2022.11德國跨國汽車巨頭 Continental 大陸集團汽車德國2022.11世界最大的咨詢公司 Kea

28、rney&Company商業美國時間攻擊對象描述攻擊行業攻擊國家/地區13LockBit 勒索軟件進階之路LockBit 勒索軟件進階之路總結與發展趨勢附錄06LockBit 團伙采用 RaaS 的商業模式，通過不斷構思新策略，已將自己打造為地下犯罪組織中最專業的犯罪團伙之一。相關證據表明，它的一些附屬運營團伙大力推廣 RaaS 業務，這有助于其不斷進行創新并繼續提高針對全球企業目標的能力，其家族規模和影響力在未來時間里也將持續擴大。就其最新發布的漏洞賞金計劃而言，會更加助力其利用相關漏洞在勒索攻擊中大展身手。此外，LockBit 團伙并沒有將針對大型企業的攻擊進行高調宣傳，持續保持相對低調的

29、姿態，且特意避開獨立國家聯合體（CIS）國家的攻擊特點使得它在未來很長一段時間里將會繼續保持活躍。LockBit 勒索軟件在全球泛濫，對國內的組織或企業也有一定的影響，但是鮮少有公開披露的事件，因此我們仍需對LockBit 勒索團伙保持高度警惕。隨著 LockBit 勒索團伙不斷發展，其攻擊能力及流程逐漸趨向專業的 APT 組織，因此針對勒索攻擊需建設持續的防范、檢測、響應防護體系。防范防止勒索軟件攻擊的最佳時間在入侵發生之前，因此，建議采用主動安全防御策略：1、做好資產梳理與分級分類管理。建立完整的資產清單，識別內部系統與外部第三方系統間的連接關系，尤其是域合作伙伴共享控制的區域，降低勒索軟

30、件從第三方系統進入的風險；2、嚴格訪問控制策略。創建防火墻規則，僅允許特定的 IP 地址訪問；限制可使用 RDP 的用戶為特權用戶；設置訪問鎖定策略，調整賬戶鎖定閾值與鎖定持續時間等配置；為管理員級別和更高級別設置的賬戶實施基于時間的訪問；3、做好身份驗證管理。設置復雜密碼，并保持定期更換登錄口令習慣；多臺機器，切勿使用相同的賬號和口令；啟用多因素身份驗證(MFA)；4、提高人員安全意識。及時更新系統補丁，定期檢查、修補已知的 RDP 相關漏洞；切勿打開未知來源的文件，從正規途徑下載程序安裝包；5、備份重要數據和系統。在物理上獨立安全的位置（即硬盤驅動器、存儲設備、云）維護和保留敏感或專有數據

31、的多個副本。檢測檢測為勒索軟件體系化防護的事中階段，該階段勒索軟件已滲透到系統內部，但還未大規模爆發。通過應用有效防護體系建設14LockBit 勒索軟件進階之路SHA256ba0cbc64186e71421df417178c9fcb28b42a652ad063abfdbb6996604d30885affbb6c4d8d704a530bdd557890f367ad904c09c03f53fda5615a7208a0ea3e4d286bffaa9c81abfb938fe65be198770c38115cdec95865a241f913769e9bfd3f76a77def28acf51b2b7cd

32、cbfaa182fe5726dd3f9e891682a4efc3226640b9c78faa3453ceb1bd4e5b0b10171eaa908e56e7275173178010fcc323fdea67a686970cb1a8cb4259b72b704e81349c2ad5ac60cd1254a810ef68757f8c9409e3ea6ec88f821d22e5553afb94b4834f91ecdedeb27d9ebfd882a7d8f33b5f12ac38d13849c0c923bfed5ab37224d59e2d12e3e72f97dc7f539136ae09484cbe8e5e06

33、fedf83e76d76c59c8ad0da4c5af28f23a12119779f793fd253231b5e3b00a1ac8205792fbc0a5efc6b8f0f2257514990bfaa987768c4839d413dd10721e887115a7d528587ffc860f038bb5be5e90b79060fbba5948766d9f8aa46381ccde8a0f5d71496ab540c3395cfc024778a7ac5c6b5418f165cc753ea2b2befbd42d510e66029132a885143b87b1e49e32663a52737bbff4ab9

34、6186e9e5e829aa2915f410c884d883ebe2172507b5eadd10bc8a2ae2564ba0d33b1e84e5f3c22bd3677e3f236e4aeb73f8f8f0caebe46f53abbb2f71fa4b266a34ab50e01933709e877的檢測手段，能夠降低勒索軟件爆發所產生影響。1、共享威脅情報。使用網絡安全設備或組件阻斷相關指示器；使用沙盒分析來阻止惡意文件執行；2、文件擴展名檢測。借助文件訪問監控工具，將勒索軟件的擴展名文件重命名操作列入黑名單；3、采用蜜罐文件。在共享文件夾/位置放置虛假誘餌文件并以警報通知文件打開情況；4、配備安

35、全防護工具。檢測系統中存在可疑工具；監控可疑網絡端口、協議和服務；識別授權和未授權的設備和軟件；對事件和事件日志進行審核。響應感染勒索病毒建議進行如下操作：1、隔離網絡。將感染病毒的機器斷開互聯網連接，視情況切斷網絡內不必要的網絡連接，避免網絡內其他機器被進一步感染滲透；2、分類處置。當重要文件尚未被加密時，應立即終止勒索軟件進程或關閉機器，及時止損；3、及時報告。及時報告網絡管理員，通知其他可能會受到勒索軟件影響的人員，造成重大影響時，及時向網絡安全主管部門報告；4、排查加固。排查勒索軟件植入途徑；及時堵塞漏洞、盡快對網絡內機器進行全面漏洞掃描和安全加固；5、專業恢復。聯系專業公司和人員進行

36、數據和系統恢復工作。IOCS15LockBit 勒索軟件進階之路LockBit 勒索軟件進階之路0f178bc093b6b9d25924a85d9a7dde64592215599733e83e3bbc6df2195643351b109db549dd0bf64cadafec575b5895690760c7180a4edbf0c5296766162f1826b6a9fecfc9d4b4b2c2ff02885b257721687e6b820f72cf2e66c1cae267573969d9dd7fdd88f33e2343fb391ba063a65fe5ffbe649da1c5083ec4a67c52

37、59970a937d4fe8aa6cb947b95841c490d73e452a3cafcd92645afc353006786aba761e3bf358c76f4030ffc4437d5fcd80c54bd91b361abb43a4fa6340e62d9867705072678821b490853eff0a97191f262c4e8404984dd8d5be1151fef437ca26dbca57455fd148754bf443a2c8b06dc2a295f014b071e3990dd99916250d21bc75256e2bf5f3c819e0add95147b606dc314bbcbac3

38、2a801a59584f43a4575e25dc2b8117925b4b5b39192aaaea130426bda39ebb5f363102641003f2c2cb33b7853f29a368c48b0a851db473a70498e168d59c75b7106002ac533711ca5cfabf894acc0b5ed29adf00916dea7652bcab8012d83d924438a410bee32afbcdb995cc5b9bae348788cd2a1ce0ba798f9ae9264c662097011adbd44ecfab63a8c4ae286292c2294ad1e84cd092

39、5c31ee6deb7afd300f935004a9e8a7a43bf80034abae83ab7a2bcac146db472f3b930c01af5b6d3d978ead7b14a9d0ac16e1a76e9f9d9bc98d15f243257c1b5bca59464abe68c680cd5482ba9f5082201dde41a016cfa03326ac8efa930e10091a374d40ddab9f7c2f12246d6ef7983bad93256f1f3aa0085da4a920e92d8f59fefa6f25551655ca911382b5e34df76a9333ac8b7214

40、a08fbf01d02097094b725101309b2bf7fefc2e27724654b840b87e091aa5c9b9a1360645cf3113715cc023d2e4cf9f6f3a6278abcf4499f0ba7cd76c82839eb0ce8559871b410e23057393eb2d9fb76ec902da2ff1f8006ad312c81852a41f6f0545f842ca2eb77bcac0fd17d6d0a8c607d7dbc8669709f3096e5c1828e1c0490906a0b27f59b6db2a2451a0e0aabf292818e32ddd54

41、04d08bf49c601a46674421879b5a8a84c5fe5e009c85744caf74b817c57203020bf919037d7ccb6b6a584bb152c96ba9e25f293bbc03c607918a4452231087053a8cb1a8accb1acc92fd4edbf2358a9820e030136dc76126c20cc38159df0d8d7b13d30b1c9351e8b277717585e9605ac2a971b7c7537e6e311bab9db02ecc6451e0efada9b2ff38b47473406e0e7882addf0f810d3b

42、c0e386fd5fd2dd441c895095f4125bb236ae734595739e350d7f2aca2c609768ee72ad67fcf05efca5c7ad8df3027c82b9c454cfa7591e4a248c04547579f014c94d7d30aa16a01bb2a25b77df36e30a198df10816LockBit 勒索軟件進階之路acad2d9b291b5a9662aa1469f96995dc547a45e391af9c7fa24f5921b0128b2cb3faf5d8cbc3c75d4c3897851fdaf8d7a4bd774966b4c25e0e

43、4617546109aed5bc117caad6093d463777f8c897330e46b1217619dd2cc25ce9971266bf84708cbcbb1e388759eea5c1fbb4f35c29b6f66f3f4ca4c715bab35c8fc56dcf3fa621d089d57b8b2b32ee9816338e96680127babc5d08a03150740a8459c29ab3ba78d52f0647e519edcea013530a23e9e5bf871cf3bd8acb30e5c870ccc8c7b89a09dd8fe3966ab4d2d6215c63b3ac7abf

44、4673d9c19f2d9f35a6bf247922c642ec2df32e9fb8b1ea73f0a71f3edaebb7f2b242e72d2a4826d6b2744ad3d830671202d61af007f6c792b8fb6c677143b7d0e2533394e28c50737588e40da475c040ee80e8defa5377018b093b5b90de0f2957f7062144c83a09a56bba1fe4eda932cea56b41a6023f828cccaaef470874571d169fdb8f683a75edd430fbd31a2c3f6e506f3b1285

45、3375a1fbbf85c82ddf13341cf941c5acd4a39a51d6addf145a7a51c597c75c6b6b283e3b5c8caeee095d60902e7396536444b59513677a94667ff8917e115cc403e29b4388e0d175cbfac3e7e40ca1742299fbdb353847db2de7c228042dd4a92a0033b8f1d419b9e989c5b8e32d1d2d881f5c8251d58ce35b906398e4c248377b5b62121c7b9ef20fc03df3473cbd886a059998f421

46、0e8df07f1532726fa33be861472d0b26286073b49500e3fd3bd1395f63bc114746a9195efb7b5db447f6c29c939f5e0aae1b16431a132db5a2ab4420ba9818af2bf4496d21aae5e59d6424515c157f3c4a54e4feeb09759d028290ab0271f730e82f58f10f94e6b969c100483970fc3985bf2b173f2f24d796a079114f584f42484840be28a398c70a2b3bf8ae8b5ceddf53fcf6daa2

47、b68af2fadb76a8ea6e33b8bbe06f659bd7a1270d808c2db960bfdba2043ff795067b8d215aebeb2029cfba06167315e05ad49bce21fa7a5c6f45327e195d04076e69fd03900b4e43cd921f4e33df2d3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1df47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446f3a1576837ed56

48、bcf79ff486aadf36e78d624853e9409ec1823a6f46fd0143ea67df6effa1d1d0690c0a7580598f6d05057c99014fcbfe9c225faae59b9a3224ee3e03f4510a1a325a06a17060a89da7ae5f9b805e4fe3a8c78327b9ecae84dfcc3d006c2b963b6b34a90886f758b7b1c3575f263977a72f7c0d1922b7feab92 17LockBit 勒索軟件進階之路LockBit 勒索軟件進階之路SHA1cb6fdb25a15b7797890

49、fadc2b823984f93da5368 939ff7e5eeaccb0c2f4ee080a8e403e532b6317a 02ea524429ba2aefac63fed27e924ab3659f8c00 9c1142122370c9b28b13aa147c6e126b3be50845MD52d8b6275dee02ea4ed218ba2673b834e97c07d03556ddcfc8ebfa462df546eb545dfdde3df07b6ccc23b7ae6e3dc121277c5fb080bf77f099c5b5f268dcf4435738bee5280d512a238c3bb48c

50、3278f637b74e4fb9a95f41d5d9b4a71a5fe40b9 f9ab1c6ad6e788686509d5abedfd10011690f558aa93267b8bcd14c1d5b9ce345e54923e6dc9508ae25fb6148d5b2e5574a53d9db6b2358d3e5fe3accf0cb7384d388f95a81f810195f6a8dfe86be755 87308ec0a44e79100db9dbec588260ec 4655a7ac60ed48df9b57648db2f567ef 23a30838502f5fadc97e81f5000c41900

51、3b8472df4beb797f7674c5bc30c5ab74e8e889729d644eb3e6841b0f488ea95 a0db5cff42d0ee0de4d31cff5656ed1acaa6b0afab07d19f9f296d2f72595a56 ae993930cb5d97caa5a95b714bb04ac817bcacbbf8f7655ec43e8d54074e0bd7 URLhxxp:/ppaauuaa11232.cc/dlx5rc.dotmhxxp:/ppaauuaa11232.cc/aaa.exehxxp:/188.34.187.110/dd.ps1hxxp:/188.34

52、.187.110/cc.ps1hxxp:/188.34.187.110/cc.ps118LockBit 勒索軟件進階之路IP172.232.146.250199.115.112.149159.65.216.150185.193.125.59133.226.170.15445.32.88.116107.181.187.18445.67.191.147139.60.160.20093.190.139.22345.227.255.190193.162.143.218168.100.11.7293.190.143.10188.80.147.102193.38.235.234174.138.62.35185.215.113.39185.182.193.120https:/malpedia.caad.fkie.fraunhofer.de/details/win.LockBithttps:/ 勒索軟件進階之路LockBit 勒索軟件進階之路https:/talos-intelligence- 勒索軟件進階之路市場合作：mkttj- 客戶服務：servicetj- 合作伙伴：partnertj-400-081-0700www.tj-專業的情報應用解決方案提供商