近日接到科脉同行电话,他们的客户服务器被勒索病毒加密,加密后文件名全部被更改,在拿到客户发来的数据库文件后,对Lockbit3.0l加密算法进行分析,用时5小时完成数据库还原,经客户验证数据完整度99.99%,已直接用于生产环境,而且费用不及赎金的10%。
一,如何分辨Lockbit3.0勒索病毒
被lockbit3.0加密后文件名将变得无法分辨,全部变成随机码,并以N62MAIVTL做为后缀,此后缀应该是随机产生,期待接触到更多案例后确认。
所有文件的图标变了字母“B”,这点与lockbit2.0一样,所以在看到的第一眼便觉得是lcokbit的变种,如下图:
确认为lockbit3.0是从黑客留下的勒索信中找到的证据,勒索信文件名为被加密文件的后缀加上README。本例为:n62MaiVTI.README。内容如下图:
二,lockbit3.0勒索病毒文件分析
勒索信内第一句话是:~~~ LockBit 3.0 the world's fastest and most stable ransomware from 2019~~~ (~~~自2019年以来 LockBit 3.0是世界上最快最稳定的勒索病毒~~~)从中可以确认此为lockbit3.0勒索病毒,并自夸了为最快最稳定的勒索病毒。--当时lockbit升级到2.0时也曾经自称世界上最快的勒索病毒。
我们先来分析一下被加密后的数据库文件,再对比一下与lockbit2.0的区别。
可以看到数据库被lockbit3.0加密后,前30720扇区被加密,合计15M,这只是文件头被加密部份,再往下看会发现还有被加密的扇区,如下图:
以上图片中可以看出,被加密部份为5120扇区,合计2M,像这样被加密的扇区还有很多段,这里就不再截图,这样的加密方式,对数据库造成的破坏是毁灭性的。想要通过软件来还原已经变行不可能。
lockbit2.0为什么可以用软件还原?是因为lockbit2.0对文件头只加密8个扇区,虽然也进行了穿插加密,但加密的扇区数少,用软件是可以还原出大部份数据的。也正因为加密的扇区数少,所以lockbit2.0号称是最快的勒索软件。
三,lockbit3.0勒索病毒是否可以还原
被加密的数据库可以还原,已有成功案例,被加密后文件名无法分辨,经过我们的处理,数据库文件名及文件存放目录都已可见,被加密部份也成功完成解密,交付客户验证成功,不丢表,不丢记录,结构完整,直接使用不报错,下图为还原后文件目录:
客户对还原后数据库验证的反馈:
四,如何更好的防御lockbit3.0勒索病毒
建议包括杀毒软件部署和数据备份、网络安全及密码安全方面内容,可参考执行,我们也可以协助执行。
1,杀毒软件部署:建议安装火绒杀毒软件,个人版本为免费软件,安装完成后可设置软件的功能设置和退出密码,密码强度建议大小写加特殊字符,密码位数不小于16位。此功能可在黑客获得系统管理员权限后,更改杀毒软件设置和结束杀毒软件进程时没有密码而不能改变设置和结束进程,只要杀毒软件进程还在运行,黑客的加密程序将无法拷贝到本地,即使拷贝到本地也不能运行。从而保护数据安全。
2,数据备份:数据库建议进行定时的离线备份或异地备份。根据数据库数据的颗粒度设置备份周期(每日、每三天、每周),并严格遵守。文件共享服务器可采用NAS(网络附属存储)进行备份,可对重要文件夹进行差异备份,只要此文件夹内文档有改动,备份软件便会对改动的文件进行备份。可设置全盘备份、某个目录备份及整机备份。有效保证数据安全。云服务器离线备份不方便,可在云服务器端安装百度网盘等工具,设置对重要文件所在的目录进行定期备份,要注意的是密码强度一定要高。
3,网络端口安全:操作系统应开启网络防火墙,只开放服务器向外提供服务的端口,其它端口一律关闭。一些常用知名端口可更改端口号再对外提供服务,如MSSQL 的常用端口号为1433,远程桌面端口号为3389等,可将这类端口号更改为不常用的端口号,更改完成后只要在配置服务时相应的配置便可。因为黑客常用的网络扫描工具会针对知名端口号进行扫描,再根据端口的漏洞进行攻击,攻击成功后便可对机器进行加密。开放的端口越少,黑客可利用的就越少,系统就越安全。
4,密码安全及系统更新:基本要求为所有的密码都应设置大于16位的数据+字母(大小写)+特殊符号的强密码,如果有多台服务器应为每台服务器设置单独的登录密码,防止黑客在成功爆破一台服务器后把所有服务器被一锅端。建议操作系统安装windows 2016以上版本,并经常查看操作系统的更新功能,检查发现有要安装的补丁应及时更新,并留意微软每个月的第二个星期二定期发布系统更新补丁日,有涉及到的应及时更新。
做好以上四个方面可有效的提高数据及系统安全性,如果在实施过程中需要我们协助可随时联系我们。
