吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 3448|回复: 7
收起左侧

中了lockbit加密勒索病毒,不知道大家有没有处理过类似的经验可以分享?

[复制链接]
dier 发表于 2021-7-22 17:23
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
今天发现电脑中招了。
该病毒导致所有文档、压缩包都被加密,加密后的文件后缀为lockbit。

然后会开机启动。启动项路径中发现会在 C:\user\USERNAME\music\ 目录下有两个文件,一个是LockBIT_E9582C17C5305452.exe 一个是NS_V2.EXE
前者应该是用来加密文件的,后者貌似是用来发现局域网其它可入侵的设备并继续传播的。

在被加密的文件同级目录还会产生一个txt文件,用来提示如何付费解密。因为里面含一个ID(同一环境下全是一样的,应该是用来区分用户),我把ID这行去掉了。
因为这两个文件直接就在电脑中,所以我打了个包。但是为了防止误操作,所以我把两个疑似病毒的exe文件改了一下后缀为.zip。
有兴趣研究的改一下后缀应该就能继续运行。其中还包含一个被加密的文件和勒索信息文件。

如果可以,也希望有大佬能提供一下解决方法

链接:https://pan.baidu.com/s/1QGjtrTcioiagmAkxbXYQFw
提取码:2che

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

FB让领导先拿 发表于 2021-7-22 18:25
lockbit勒索,看你描述是远程桌面进去的
那个NS_v2是遍历你企业内的共享的,如果找到其他共享也会挂在被入侵的这台服务器上,一起把文件加密
基本没救了
FB让领导先拿 发表于 2021-7-22 18:27
FB让领导先拿 发表于 2021-7-22 18:25
lockbit勒索,看你描述是远程桌面进去的
那个NS_v2是遍历你企业内的共享的,如果找到其他共享也会挂在被入 ...

断外网3389,检查有没有映射到外网的高危端口
有外网业务的服务器,尽量禁用默认管理员,能改的密码都改了
要是有金蝶云桌面这种,看看有没有创建出来的默认账户,都得处理下

文件应该没啥办法了
 楼主| dier 发表于 2021-7-22 19:09
FB让领导先拿 发表于 2021-7-22 18:27
断外网3389,检查有没有映射到外网的高危端口
有外网业务的服务器,尽量禁用默认管理员,能改的密码都改 ...

我也判断是远程桌面的漏洞,目前所有中招的机器我都断网了,还好文档类型的大部分有备份,不过仍然有少部分软件的配置文件也被判断成了文档被加密了。影响不大就是了
bluefish77 发表于 2021-7-23 00:42
很好奇你上了什么网站导致这样了~~~
Milk1234 发表于 2021-7-23 00:49
很好奇你上了什么网站导致这样了~~~
求问
以后就能避免了嘿嘿
emperorxu 发表于 2021-7-23 22:24
马一个,防一手,天知道会不会中枪
18707530061 发表于 2021-8-18 11:57
我八月初刚处理了公司同样的问题,只不过我这边中的是Phobos家族勒索病毒,加密后的文件是*.eking。后台找了服务商解密了几台服务器。我同事搞的,这种远程安全错略一定要做好。
微信截图_20210818115621.png
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 13:52

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表