LockBit 是範圍廣泛的勒索網路攻擊中的一種新型勒索軟體攻擊。
這些攻擊具有以下特徵:
- 在組織內部自我傳播,而不需要人工指導。
- 定向傳播,而不是像垃圾郵件惡意軟體那樣以分散的方式傳播。
- 使用相似的工具進行傳播,例如 Windows Powershell 和伺服器報文塊 (SMB)。
最重要的是它具有自我傳播能力,這意味著它可以自行傳播。
LockBit 勒索經過三次反覆運算, LockBit 3.0勒索病毒不再是簡單的個人駭客行為,而是一種高度組織化的網路犯罪行為。其主要針對企業和機構,但個人用戶也可能成為受害者。通過使用先進的加密技術,LockBit 3.0能夠在極短的時間內將大量資料變成不可解密的狀態。加密後,它會修改受感染檔的尾碼為隨機的字母+數位組成,檔的尾碼名沒有規律可循,
為確保公司能夠一開始就抵禦勒索軟體或惡意攻擊。以下是一些可以幫助做好準備的措施:
- 採用高強度密碼:許多帳戶洩露是因為用戶使用了容易猜測的密碼,或者因為密碼太過簡單,演算法工具經過幾天探測後內即可查明。請確保您選擇安全的密碼,例如選擇帶有字元變化的長密碼,並使用自行創建的規則來編寫密碼。基本要求為所有的密碼都應設置大於16位元的資料+字母(大小寫)+特殊符號的強式密碼,如果有多台伺服器應為每台伺服器設置單獨的登錄密碼,防止駭客在成功爆破一台伺服器後把所有伺服器被一鍋端。
- 啟動多因數身份驗證;通過在基於密碼的初始登錄措施上添加保護層來阻止暴力破解攻擊。盡可能在所有系統上實施生物識別或物理 U 盤認證器之類的措施。
- 重新評估並簡化使用者帳戶許可權;將許可權限制到更嚴格的級別,以避免潛在威脅悄然入侵。請特別注意具有管理員級別許可權的端點用戶和 IT 帳戶訪問的內容。Web 域、協作平臺、Web 會議服務和企業資料庫均應得到保護。
- 清除過時和未使用的使用者帳戶:一些較舊的系統可能包含前員工的帳戶,而又從未停用和關閉這些帳戶。在完成對系統的檢查時,應消除這些潛在的弱點。
- 確保系統組態遵循所有安全流程:這可能會花費一些時間,但回顧現有設置可能會發現新問題和過時的策略,這些薄弱環節會您的公司面臨攻擊風險。必須定期重新評估標準操作流程,以及時防範新的網路威脅。
- 始終準備好全系統備份和乾淨的本地電腦映射:安全事件不可能徹底避免,要防止資料永久丟失,唯一真正的保障就是保留離線副本。您的公司應定期創建備份,以更新對系統做出的任何重要更改。如果備份因惡意軟體感染而被污染,請考慮使用多個迴圈備份點,以允許您選擇乾淨的備份期。
- 殺毒軟體部署:安裝完成後可設置軟體的功能設置和退出密碼,密碼強度建議大小寫加特殊字元,密碼位元數不小於16位。此功能可在駭客獲得系統管理員許可權後,更改殺毒軟體設置和結束殺毒軟體進程時沒有密碼而不能改變設置和結束進程,只要殺毒軟體進程還在運行,駭客的加密程式將無法拷貝到本地,即使拷貝到本地也不能運行。從而保護資料安全。
- 資料備份:資料庫建議進行定時的離線備份或異地備份。根據資料庫資料的顆粒度設置備份週期(每日、每三天、每週),並嚴格遵守。檔共用伺服器可採用NAS(網路附屬存儲)進行備份,可對重要資料夾進行差異備份,只要此資料夾內文檔有改動,備份軟體便會對改動的檔進行備份。可設置全盤備份、某個目錄備份及整機備份。有效保證資料安全。
- 網路埠安全:作業系統應開啟網路防火牆,只開放伺服器向外提供服務的埠,其它埠一律關閉。一些常用知名埠可更改埠號再對外提供服務,如MSSQL 的常用埠號為1433,遠端桌面埠號為3389等,可將這類埠號更改為不常用的埠號,更改完成後只要在配置服務時相應的配置便可。因為駭客常用的網路掃描工具會針對知名埠號進行掃描,再根據埠的漏洞進行攻擊,攻擊成功後便可對機器進行加密。開放的埠越少,駭客可利用的就越少,系統就越安全。
- 系統更新。建議作業系統安裝Windows Server 2016以上版本,並經常查看作業系統的更新功能,檢查發現有要安裝的補丁應及時更新,並留意微軟定期發佈系統更新補丁,有涉及到的應及時更新。
