近日，安天 CERT 在梳理網絡安全事件時發現了 LockBit 2.0 勒索軟件持續活躍。LockBit勒索軟件最早被發現于 2019 年 9 月，主要通過獲取的遠程桌面登錄憑證進行傳播。經驗證，安天智甲終端防御系統（簡稱 IEP）的勒索軟件防護模塊可有效阻止 LockBit 2.0 勒索軟件的加密行為。

        通常攻擊者使用有效的遠程桌面協議（RDP）賬戶訪問受害者系統，進入系統后首先使用網絡掃描器找到域控制器，在得到域控制器權限并橫向移動釋放并運行 LockBit 2.0 勒索軟件。攻擊者在域控制器上創建組策略并將組策略更新到網絡上的其他設備。組策略的目的是禁用 Microsoft Defender 的實時保護、警報、向 Microsoft 提交樣本以及檢測惡意文件時的默認操作，還可以配置計劃任務繞過 UAC 啟動勒索軟件。攻擊者通過對域控制器的 ADS執行 LDAP 查詢獲得計算機列表，利用組策略釋放 LockBit 2.0 勒索軟件樣本，LockBit 2.0 運行后追加以“.lockbit”命名的后綴，在每個加密目錄中創建名為“Restore-My-Files.txt”的勒索信。勒索信中包含勒索的信息、聯系方式和泄密文件的威脅信息等。勒索軟件除了以上功能，還可以更改系統的桌面背景、喚醒離線設備、通過聯網打印機反復打印勒索信引起受害者的注意等功能。

▲ LockBit 2.0 勒索軟件勒索信息

        LockBit 2.0 勒 索 軟 件 采 用“AES+RSA”加密算法組合的形式加密文件，目前被加密的文件暫無法解密。

        安天提醒廣大用戶，及時備份重要文件，且文件備份應與主機隔離；及時安裝更新補丁，避免勒索軟件利用漏洞感染計算機；對非可信來源的郵件保持警惕，避免打開附件或點擊郵件中的鏈接；盡量避免打開社交媒體分享的來源不明的鏈接，給信任網站添加書簽并通過書簽訪問；避免使用弱口令或統一的密碼；確保所有的計算機在使用遠程桌面服務時采取VPN 連接等安全方式，如果業務上無需使用遠程桌面服務，建議將其關閉；可以使用反病毒軟件（如安天智甲）掃描郵件附件，確認安全后再運行。目前，安天追影產品已經實現了對該類勒索軟件的鑒定；安天智甲已經實現了對該勒索軟件的查殺。