Эксперты по безопасности утверждают, что вредоносная программа внесла множество усовершенствований как в свой скрипт шифрования, так и в способ распространения, что позволяет ей обходить традиционные решения безопасности.
За последние 2 месяца эксперты Bkav постоянно получали запросы на помощь от многих предприятий во Вьетнаме в связи с распространенной ситуацией, когда все компьютеры во внутренней сети были зашифрованы одновременно, и данные не удалось сохранить.
LockBit 3.0 начинает «взрывной рост» во Вьетнаме
Результаты расследования и анализа многих случаев показывают, что виновником шифрования данных является LockBit 3.0, также известный как LockBit Black, — вирус-вымогатель известной хакерской группы, недавно уничтоженной Международным полицейским альянсом (включая Национальное агентство по борьбе с преступностью Великобритании — NCA, Федеральное бюро расследований США — ФБР и Полицейское агентство Европейского союза — Европол).
LockBit Black имеет более сложные усовершенствования по сравнению с предыдущими вариантами. Они специально разработаны для серверов управления доменами Windows во внутренних системах. После проникновения вирус использует эти серверы для дальнейшего распространения по всей системе, отключая решения безопасности (отключая антивирус, брандмауэр), копируя и выполняя вредоносный код... Таким образом, вирус может зашифровать все машины во внутренней системе одновременно, без необходимости атаковать каждую машину, как раньше.
LockBit Black не только меняет свои методы и цели, но и применяет более опасный сценарий шифрования данных. Вместо того чтобы напрямую шифровать данные при запуске, вирус выполняет повышение привилегий, затем обходит UAC и, наконец, перезагружает компьютер жертвы в безопасном режиме (режим, в котором запускаются только система и некоторые приложения) и выполняет шифрование данных в этом режиме. Таким образом, вредоносное ПО может обойти традиционные решения безопасности.
Чтобы избежать атак LockBit и других вирусов шифрования данных, эксперты Bkav рекомендуют пользователям и системным администраторам:
- Регулярно создавайте резервные копии важных данных.
- Не открывайте внутренние сервисные порты для доступа в Интернет без необходимости.
- Оцените безопасность сервисов, прежде чем открывать их для Интернета.
- Установите достаточно мощное антивирусное программное обеспечение для постоянной защиты.
Ссылка на источник
Комментарий (0)