5月中旬以來，藍盟IT外包陸續檢測到國內有企業遭受到 lockbit 勒索病毒攻擊，被加密破壞的檔案添加了。Lockbit 後輟。該病毒出現於 2019 年末，傳播方式主要利用 RDP 口令爆破。RDP（遠端桌面協議）常用於遠端桌面控制，遠端辦公、遠端連線伺服器主機管理、堡壘機登入等。

經分析，該病毒使用 RSA+AES 演算法加密檔案，加密過程採用了 IOCP 完成埠+AES-NI 指令集提升其病毒工作效率，從而實現對檔案的高效能加密流程。由於該病毒暫無有效的解密工具，被攻擊後文件無法恢復，需定期對重要檔案和資料（資料庫等資料）進行非本地備份。

不法分子首先探測 RDP 埠開放情況，透過爆破 RDP 弱口令連線受害機，遠端投遞勒索病毒惡意檔案。該病毒首先採用了 IOCP（輸入/輸入完成埠）來提高自身對檔案加密的效能，對檔案加密所使用的演算法為 RSA+AES，且會對主機的 CPU 進行檢測是否支援 AES-NI。加密檔案後，檔案均被新增。lockbit 擴充套件字尾。且加密後會刪除系統對系統卷的備份資訊，這將導致無法透過恢復磁碟等方法來恢復檔案。

同時會修改桌面桌布，在系統重啟後無法進入桌面，而是直接跳轉到一張圖片以及一封名為 Restore-My-Files。txt 勒索信，要求使用者登入暗網繳納贖金，一般情況下，透過 RSA 和 AES 加密演算法，解密時需要私鑰，否則無法解密。

此外，該病毒還會對區域網進行嗅探，探測區域網內主機是否開放 135，445埠，如果開放則嘗試遍歷其主機內的共享資源進行加密。

建議採取以下防範措施

1。儘量關閉不必要的埠，如：445、135，139 等，對 3389，5900 等埠可進行白名單配置，只允許白名單內的 IP 連線登陸。

2。儘量關閉不必要的檔案共享，如有需要，請使用 ACL 和強密碼保護來限制訪問許可權，禁用對共享資料夾的匿名訪問。

3。採用高強度的密碼，避免使用弱口令密碼，並定期更換。建議伺服器密碼使用高強度且無規律密碼，並且強制要求每個伺服器使用不同密碼管理。網管可透過強制安全策略要求區域網所有伺服器、終端系統使用強密碼並設定密碼過期策略。

4。對沒有互聯需求的伺服器/工作站內部訪問設定相應控制，避免可連外網伺服器被攻擊後作為跳板進一步攻擊其他伺服器。

5。對重要檔案和資料（資料庫等資料）進行定期非本地備份。

6。加強人員安全意識培訓，謹慎下載陌生郵件附件，若非必要，應禁止啟用 Office 宏程式碼。

7。若主機或終端裝置感染勒索病毒，應立即斷開網路通訊，防止病毒在區域網內進一步擴散，並對主機進行風險排查。

文/上海藍盟，IT外包服務專家