.lockbit勒索病毒解密 Hyper-V虛擬機中勒索病毒解密 VMware虛擬機中勒索病毒解密 vhd vhdx vmdk 勒索病毒解密恢復 服務器中.Lockbit勒索病毒解密
近日筆者接到 一個客戶的 Hyper-y虛擬機被lockbit病毒加密了,需求恢復的案例。 數據類型 Hyper-V虛擬機 vhdx虛擬磁盤 for NTFS分區 vhdx虛擬磁盤文件 700多GB, 內有一個
2TB 的NTFS分區,虛擬磁盤方式是 動態擴展。跑這個虛擬機的服務器中毒導致 Hyper-V虛擬機 vhdx被勒索病毒加密, 文件被添加.lockbit 由於虛擬機是文件服務器
存有整個公司的財務數據表格 視頻 文檔 圖片等等,極其重要。需求恢復。
經過分析vhdx磁盤文件頭部被加密破壞了0-511扇區
其餘位置少量加密破壞
修復結果 修正vhdx被加密損壞的元數據 打開2TB NTFS分區直接提取文件夾完成恢復,數據恢復完整度100% 客戶非常滿意.
耗時5 小時完成恢復,所有文件均可正常打開.
Lockbit勒索軟件
LockBit於2019年首次發現,是一個相對較新的勒索軟件系列,可以快速利用SMB和PowerShell等常用協議和工具。在開始使用當前.lockbit擴展名之前,由於加密文件的文件名擴展名,其最初稱爲“ ABCD” 。從早期開始,它就已經發展成爲迄今爲止最致命的惡意軟件之一,每個組織的平均贖金約爲40,000美元。
隨着網絡犯罪分子不斷提高其攻擊速度和規模,勒索軟件仍然是各個行業組織關注的關鍵問題。在過去的12個月中,Darktrace發現其整個客戶羣中的勒索軟件事件增加了20%以上。攻擊者正在不斷開發針對威脅的新威脅變體,利用現成的工具,並從迅速發展的Ransomware即服務(RaaS)商業模型中獲利。
LockBit如何工作?
在典型的攻擊中,威脅行動者會在系統中花費數天或數週的時間,手動篩選使受害者的業務陷入停頓的最佳方法。此階段傾向於暴露多種危害指標,例如命令和控制(C2)信標,這是Darktrace AI實時識別的。
但是,LockBit只需要一個人存在幾個小時,此後它便會通過系統傳播並自行感染其他主機,而無需人工監督。至關重要的是,該惡意軟件會執行偵察並在加密階段繼續傳播。這使其比其他手動方法造成最大損害的速度更快。
基於AI的防禦對於抵禦這些機器驅動的攻擊至關重要,這些攻擊具有快速擴展的能力,並且通常不會被基於簽名的安全工具檢測到。網絡AI不僅可以檢測到威脅的細微跡象,而且可以在幾秒鐘內自動做出響應,從而比任何人預期的反應都要快,從而增強了人員隊伍。
勒索軟件分析:使用AI分解LockBit攻擊
圖1:對受感染主機和加密主機的攻擊時間表。被感染的主機是最初被LockBit感染的設備,然後又被傳播到執行加密的設備加密主機。
最初的妥協
當網絡犯罪分子獲得對單個特權憑證的訪問時,攻擊就開始了-通過對外部設備的蠻力攻擊(如先前的LockBit勒索軟件攻擊中所見)或僅通過網絡釣魚電子郵件進行。使用此證書,設備可以在最初感染後的幾個小時內傳播和加密文件。
如果滲透方法是通過網絡釣魚攻擊(這種攻擊方法在最近幾個月變得越來越流行),Darktrace的Antigena Email本可以保留該電子郵件並剝離惡意負載,從而從一開始就阻止了攻擊。
限制權限,使用強密碼和多因素身份驗證(MFA)對於防止此類攻擊利用標準網絡協議至關重要。