Home LockBit Green Ransomware: kompletny przewodnik

LockBit Green Ransomware: kompletny przewodnik

LockBit Green to nowy wariant oprogramowania ransomware LockBit, który został po raz pierwszy zgłoszony przez kolektyw zajmujący się cyberbezpieczeństwem VX-Underground. Opiera się nawyciekł kod źródłowy ransomware Contii jest przeznaczony do atakowania usług opartych na chmurze. LockBit Green to trzecia wersja ransomware LockBit, a poprzednie warianty są śledzone jako LockBit Red i LockBit Black. Gang LockBit RaaS wypuścił LockBit Green, który jest dostępny dla ich partnerów za pomocą funkcji konstruktora w portalu LockBit. Gang zmodyfikował swojeWariant oprogramowania ransomware VMware ESXI, który jest hiperwizorem typu 1 klasy korporacyjnej opracowanym przez firmę VMware do wdrażania i obsługi maszyn wirtualnych. Eksperci SalvageData zalecają proaktywne środki bezpieczeństwa danych, takie jak regularne tworzenie kopii zapasowych, rygorystyczne praktyki cyberbezpieczeństwa i aktualizowanie oprogramowania, aby chronić przed atakami ransomware. I,w przypadku ataku ransomware skontaktuj się z naszymeksperci w zakresie odzyskiwania oprogramowania ransomwarenatychmiast.

Jakim rodzajem złośliwego oprogramowania jest LockBit Green?

LockBit Green to rodzaj złośliwego oprogramowania, znanego jako ransomware, które szyfruje dane ofiar, a następnie żąda okupu, zwykle płatnego w kryptowalutach, w zamian za deszyfrator. LockBit Green wykorzystuje nowy program szyfrujący oparty na Conti. Ransomware szyfruje dane ofiary i dodaje losowe rozszerzenie do nazw wszystkich zaszyfrowanych plików. Proces szyfrowania jest automatyczny i dotyczy urządzeń w różnych domenach Windows. Klucz AES jest generowany przy użyciu BCryptGenRandom i w celu szybszego szyfrowania szyfruje tylko pierwsze 4 KB pliku i dołącza go do losowych rozszerzeń. Ransomware jest zwykle uruchamiane za pośrednictwem wiersza poleceń, ponieważ w razie potrzeby akceptuje parametry ścieżek plików lub katalogów, aby zaszyfrować tylko określone ścieżki.

Wszystko, co wiemy o LockBit Green Ransomware

Potwierdzona nazwa

  • Wirus LockBit Green

Typ zagrożenia

  • Oprogramowanie ransomware
  • Kryptowirus
  • Szafka na pliki
  • Podwójne wymuszenie

Rozszerzenie zaszyfrowanych plików

  • Losowe rozszerzenie

Wiadomość z żądaniem okupu

  • !!!-Przywróć-Moje-Pliki-!!!.txt

Nazwy wykrywania

  • AvastaWin32:Conti-B [Okup]
  • ŚREDNIAWin32:Conti-B [Okup]
  • EmsisoftGen:Variant.Ser.Zusy.4033 (B)
  • MalwarebytesGeneric.Ransom.FileCryptor.DDS
  • KasperskyUDS:DangerousObject.Multi.Generic
  • SofosMal/Generic-S
  • MicrosoftuOkup:Win32/Conti.AD!MTB

Metody dystrybucji

  • E-maile phishingowe
  • Zaatakowane serwery.
  • Brutalne wymuszanie danych uwierzytelniających VPN
  • Wykorzystywanie luk w zabezpieczeniach.
  • Inżynieria społeczna
  • Złośliwe reklamy i strony internetowe
  • Wykorzystanie protokołu Remote Desktop Protocol (RDP)
  • Ataki na łańcuch dostaw

Konsekwencje

Zobacz także:Ransomware BlackSuit: kompletny przewodnik

  • Pliki są szyfrowane i blokowane do czasu zapłaty okupu
  • Wyciek danych
  • Podwójne wymuszenie

Czy dostępny jest darmowy deszyfrator?

NIE.Obecnie nie jest dostępny żaden publiczny program deszyfrujący oprogramowanie ransomware LockBit Green.

Jakie są IOC ransomware LockBit Green?

Wskaźniki zagrożenia (IOC) to artefakty obserwowane w sieci lub systemie operacyjnym, które z dużą pewnością wskazują na włamanie do komputera. IOC można wykorzystać do wczesnego wykrywania przyszłych prób ataków za pomocą systemów wykrywania włamań i oprogramowania antywirusowego. Są to zasadniczo cyfrowe wersje dowodów pozostawionych na miejscu przestępstwa, a potencjalne IOC obejmują nietypowy ruch sieciowy, loginy uprzywilejowanych użytkowników z zagranicy, dziwne żądania DNS, zmiany plików systemowych i nie tylko. Po wykryciu IOC zespoły ds. bezpieczeństwa oceniają możliwe zagrożenia lub weryfikują jego autentyczność. IOC dostarczają również dowodów na to, do czego osoba atakująca miała dostęp, jeśli rzeczywiście przeniknęła do sieci. Wskaźniki zagrożenia ransomware LockBit Green obejmują:

  • Zaszyfrowane pliki z losowym rozszerzeniem dodanym do ich nazw
  • Notatka lub wiadomość z żądaniem okupu wyświetlana na ekranie ofiary lub w pliku tekstowym
  • Nietypowy ruch lub aktywność sieciowa, np. przesyłanie dużych ilości danych do nieznanych lokalizacji
  • Podejrzane procesy lub usługi działające w systemie ofiary
  • Zmiany w ustawieniach lub konfiguracji systemu, takie jak wyłączenie oprogramowania zabezpieczającego lub modyfikacja kluczy rejestru

W przypadku wykrycia któregokolwiek z tych objawów ważne jest odizolowanie systemu, którego dotyczy problem, od sieci i zwrócenie się o pomoc do wykwalifikowanego specjalisty ds. bezpieczeństwa w celu zbadania ataku i zaradzenia mu. Zaleca się również regularne tworzenie kopii zapasowych ważnych danych i wdrażanie najlepszych praktyk bezpieczeństwa, aby zapobiec atakom ransomware.

Skróty plików ransomware LockBit Green

Pliki skrótów oprogramowania ransomware to unikalne identyfikatory reprezentujące konkretny plik lub zestaw plików zaszyfrowanych przez oprogramowanie ransomware. Te skróty mogą być używane do identyfikowania i śledzenia ataków oprogramowania ransomware oraz do opracowywania sygnatur dla oprogramowania antywirusowego w celu wykrywania i blokowania infekcji oprogramowaniem ransomware. Skróty plików LockBit Green:

  • 102679330f1e2cbf41885935ceeb2ab6596dae82925deec1aff3d90277ef6c8c
  • 32eb4b7a4d612fac62e93003811e88fbc01b64281942c25f2af2a0c63cdbe7fa
  • 5c5c5b25b51450a050f4b91cd2705c8242b0cfc1a0eaeb4149354dbb07979b83
  • 7509761560866a2f7496eb113954ae221f31bc908ffcbacad52b61346880d9f3
  • 924ec909e74a1d973d607e3ba1105a17e4337bd9a1c59ed5f9d3b4c25478fe11
  • ac49a9ecd0932faea3659d34818a8ed4c48f40967c2f0988eeda7eb089ad93ca
  • fc8668f6097560f79cea17cd60b868db581e51644b84f5ad71ba85c00f956225
  • ffa0420c10f3d0ffd92db0091304f6ed60a267f747f4420191b5bfe7f4a513a9

Co znajduje się w nocie okupu LockBit Green

Żądanie okupu dla LockBit Green jest identyczne z tym używanym przez LockBit Black, a nazwa pliku z żądaniem okupu została zmieniona na „!!!-Restore-My-Files-!!!.txt”. Notatka o okupie LockBit Green stwierdza, że ​​dane zostały skradzione i zaszyfrowane oraz ostrzega, że ​​jeśli okup nie zostanie zapłacony, skradzione dane ulegną wyciekowi lub zostaną sprzedane. Flagi wiersza poleceń dla LockBit Green są identyczne z flagami Conti v3, co czyni go pochodną oryginalnego kodu źródłowego.Należy pamiętać, że zapłacenie okupu nie gwarantuje, że atakujący dostarczą klucz deszyfrujący i może skutkować kolejnymi atakami.

Jeśli zorientujesz się, że jesteś ofiarą oprogramowania ransomware, skontaktuj się z ekspertami ds. usuwania oprogramowania ransomware SalvageData, aby uzyskać bezpieczną usługę odzyskiwania danych i usunięcia oprogramowania ransomware po ataku.

W jaki sposób rozprzestrzenia się ransomware LockBit Green

LockBit Green uzyskuje dostęp do usług w chmurze na różne sposoby. Oto kilka metod, które ransomware LockBit Green może wykorzystać do atakowania usług opartych na chmurze:

  • Wykorzystywanie luk w zabezpieczeniach.Ransomware może wykorzystywać luki w infrastrukturze chmury, takie jak błędne konfiguracje lub nieaktualne oprogramowanie, w celu uzyskania nieautoryzowanego dostępu. Może to obejmować wykorzystywanie słabych haseł, niezałatanego oprogramowania lub niezabezpieczonych konfiguracji sieci.
  • Phishing i inżynieria społeczna.Operatorzy oprogramowania ransomware mogą wykorzystywać wiadomości e-mail phishingowe lub inne techniki inżynierii społecznej, aby nakłonić użytkowników do kliknięcia złośliwych łączy lub pobrania zainfekowanych załączników. Te e-maile mogą wyglądać na wiarygodne i mogą zawierać przekonujące wiadomości lub podszywać się pod zaufane podmioty.
  • Brutalne wymuszanie danych uwierzytelniających VPN.W niektórych przypadkach LockBit Green może dotrzeć poprzez brutalne wymuszenie niepewnych danych uwierzytelniających VPN. Może się to zdarzyć, gdy do dostępu VPN używane są słabe lub łatwe do odgadnięcia hasła.
  • Złośliwe reklamy i strony internetowe.Ransomware może być również dystrybuowane za pośrednictwem złośliwych lub zainfekowanych witryn internetowych. Użytkownicy mogą nieświadomie odwiedzić zaatakowaną witrynę lub kliknąć złośliwą reklamę, która następnie może pobrać i uruchomić oprogramowanie ransomware w ich systemie.
  • Wykorzystanie protokołu Remote Desktop Protocol (RDP).Operatorzy oprogramowania ransomware mogą próbować wykorzystać słabe lub źle skonfigurowane połączenia protokołu RDP (Remote Desktop Protocol) w celu uzyskania dostępu do usług w chmurze. Gdy znajdą się w sieci, mogą przemieszczać się na boki i infekować inne systemy.
  • Ataki na łańcuch dostaw.Oprogramowanie ransomware można również wprowadzić do usług w chmurze poprzez ataki na łańcuch dostaw. Wiąże się to z narażaniem zaufanych dostawców oprogramowania lub usługodawców i wykorzystywaniem ich dostępu do dystrybucji oprogramowania ransomware wśród swoich klientów.
  • Zaatakowane serwery.Operatorzy LockBit często uzyskują dostęp do sieci poprzez skompromitowane serwery. Mogą wykorzystywać luki w oprogramowaniu serwera lub uzyskiwać dostęp poprzez naruszone dane uwierzytelniające uzyskane od podmiotów stowarzyszonych lub innych podmiotów zagrażających.

W jaki sposób ransomware LockBit Green infekuje komputer lub sieć?

Ransomware LockBit Green szyfruje dane ofiary przy użyciu nowego narzędzia szyfrującego opartego na Conti. Oto zestawienie typowego działania procesu szyfrowania:

Zakażenie

LockBit Green uzyskuje dostęp do komputera lub sieci za pomocą różnych środków, takich jak wiadomości e-mail typu phishing, włamanie na serwery lub wykorzystanie luk w zabezpieczeniach.

Szyfrowanie

Po wejściu do systemu LockBit Green rozpoczyna szyfrowanie plików ofiary. Jest przeznaczony dla szerokiej gamy typów plików, w tym dokumentów, obrazów i filmów. Ransomware wykorzystuje potężny algorytm szyfrowania do szyfrowania danych, czyniąc je niedostępnymi bez klucza deszyfrującego.

Rozszerzenie pliku

LockBit Green dodaje losowe rozszerzenie do nazw wszystkich zaszyfrowanych plików. To rozszerzenie jest unikalne dla każdej ofiary i służy jako identyfikator oprogramowania ransomware.

Notatka o okupie

Po zaszyfrowaniu plików LockBit Green pozostawia żądanie okupu. Konkretna treść żądania okupu może się różnić, ale zazwyczaj informuje ofiarę, że jej dane zostały zaszyfrowane i zawiera instrukcje dotyczące sposobu zapłacenia okupu w celu uzyskania klucza odszyfrowania.

Zapłata okupu

Notatka z żądaniem okupu zawiera szczegółowe informacje dotyczące sposobu kontaktowania się z operatorami oprogramowania ransomware i dokonywania płatności. Należy pamiętać, że zapłacenie okupu nie gwarantuje odszyfrowania plików, a może zachęcić do dalszych ataków.

Nie płać okupu!Kontakt z firmą zajmującą się usuwaniem oprogramowania ransomware może nie tylko przywrócić pliki, ale także usunąć wszelkie potencjalne zagrożenia.

Jak poradzić sobie z atakiem ransomware LockBit Green

Ważny:Pierwszym krokiem po zidentyfikowaniu IOC LockBit Green jest skorzystanie z planu reagowania na incydenty (IRP). Idealnym rozwiązaniem byłoby posiadanie osoby odpowiedzialnej za reagowanie na incydenty (IRR) z zaufanym zespołem profesjonalistów, z którym można się skontaktować 24 godziny na dobę, 7 dni w tygodniu przez 365 dni w tygodniu, a która może podjąć natychmiastowe działania, które zapobiegną utracie danych, zmniejszą lub wyeliminują płatność okupu oraz pomogą w rozwiązaniu wszelkich zobowiązań prawnych. Zgodnie z naszą najlepszą wiedzą i informacjami, które posiadaliśmy w momencie publikacji tego artykułu, pierwszym krokiem, jaki wykona zespół ekspertów ds. odzyskiwania oprogramowania ransomware, będzie odizolowanie zainfekowanego komputera poprzez odłączenie go od Internetu i usunięcie dowolne podłączone urządzenie. Jednocześnie zespół ten pomoże Ci skontaktować się z władzami lokalnymi w Twoim kraju. Dla mieszkańców i firm w USA jest tolokalne biuro terenowe FBIiCentrum składania skarg dotyczących przestępstw internetowych (IC3). Aby zgłosić atak ransomware, musisz zebrać na jego temat wszelkie możliwe informacje, w tym:

  • Zrzuty ekranu z żądaniem okupu
  • Komunikacja z aktorami LockBit Green (jeśli ich masz)
  • Próbka zaszyfrowanego pliku

Jeśli jednak nie masz IRP ani IRR, nadal możeszskontaktuj się ze specjalistami od usuwania i odzyskiwania oprogramowania ransomware. Jest to najlepszy sposób działania, który znacznie zwiększa szanse na pomyślne usunięcie oprogramowania ransomware, przywrócenie danych i zapobiegnięcie przyszłym atakom. Zalecamy topozostaw każdą zainfekowaną maszynę bez zmiani zadzwońusługa awaryjnego odzyskiwania oprogramowania ransomwarePonowne uruchomienie lub zamknięcie systemu może zagrozić procesowi odzyskiwania. Przechwycenie pamięci RAM działającego systemu może pomóc w zdobyciu klucza szyfrowania, a przechwycenie pliku droppera może zostać poddane inżynierii wstecznej i doprowadzić do odszyfrowania danych lub zrozumienia ich działania.

Czego NIE robić, aby odzyskać siły po ataku ransomware LockBit Green

Musisznie usuwaj oprogramowania ransomwarei zatrzymaj wszelkie dowody ataku. To ważne dlakryminalistyka cyfrowaaby eksperci mogli odnaleźć grupę hakerów i ją zidentyfikować. Władze mogą to zrobić wykorzystując dane znajdujące się w zainfekowanym systemiezbadaj atak i znajdź sprawcę.Dochodzenie w sprawie ataku cybernetycznego nie różni się od innych dochodzeń karnych: potrzebne są dowody, aby znaleźć napastników.

1. Skontaktuj się z dostawcą usług reagowania na incydenty

Reakcja na incydent cybernetyczny to proces reagowania na incydent cybernetyczny i zarządzania nim. Reagowanie na incydenty to umowa o świadczenie usług z dostawcą cyberbezpieczeństwa, która umożliwia organizacjom uzyskanie pomocy zewnętrznej w przypadku incydentów związanych z cyberbezpieczeństwem. Zapewnia organizacjom ustrukturyzowaną formę wiedzy specjalistycznej i wsparcia za pośrednictwem partnera ds. bezpieczeństwa, umożliwiając im szybką i skuteczną reakcję podczas incydentu cybernetycznego. Osoba zajmująca się reagowaniem na incydenty zapewnia organizacjom spokój ducha, oferując wsparcie eksperckie przed i po incydencie cybernetycznym. Specyficzny charakter i struktura osoby odpowiedzialnej za reagowanie na incydenty będą się różnić w zależności od dostawcy i wymagań organizacji. Dobra osoba zajmująca się reagowaniem na incydenty powinna być solidna, ale elastyczna i zapewniać sprawdzone usługi poprawiające długoterminowy stan bezpieczeństwa organizacji.Jeśli skontaktujesz się ze swoim dostawcą usług IR, on zajmie się całą resztą.Jeśli jednak zdecydujesz się usunąć oprogramowanie ransomware i odzyskać pliki wraz ze swoim zespołem IT, możesz wykonać kolejne kroki.

2. Zidentyfikuj infekcję ransomware

Możeszokreślić, które oprogramowanie ransomwarezainfekował twoją maszynę poprzez rozszerzenie pliku (niektóre ransomware używają rozszerzenia pliku jako nazwy), w przeciwnym razie będzie to widoczne w żądaniu okupu. Dzięki tym informacjom możesz poszukać publicznego klucza deszyfrującego. Możesz także sprawdzić typ ransomware według jego IOC. Wskaźniki zagrożenia (IOC) to cyfrowe wskazówki, których używają specjaliści ds. cyberbezpieczeństwa do identyfikowania zagrożeń systemowych i złośliwych działań w sieci lub środowisku informatycznym. Są to zasadniczo cyfrowe wersje dowodów pozostawionych na miejscu zbrodni, a potencjalne IOC obejmują nietypowy ruch w sieci, loginy uprzywilejowanych użytkowników z zagranicy, dziwne żądania DNS, zmiany w plikach systemowych i nie tylko. Po wykryciu IOC zespoły ds. bezpieczeństwa oceniają możliwe zagrożenia lub weryfikują jego autentyczność. IOC dostarczają również dowodów na to, do czego osoba atakująca miała dostęp, jeśli rzeczywiście przeniknęła do sieci.

3. Usuń oprogramowanie ransomware i zestawy exploitów

Przed odzyskaniem danych musisz upewnić się, że Twoje urządzenie jest wolne od oprogramowania ransomware i że osoby atakujące nie będą mogły przeprowadzić nowego ataku przy użyciu zestawów exploitów lub innych luk w zabezpieczeniach. Usługa usuwania oprogramowania ransomware może usunąć oprogramowanie ransomware, utworzyć dokument kryminalistyczny do celów dochodzenia, wyeliminować luki w zabezpieczeniach i odzyskać dane. Użyj oprogramowania chroniącego przed złośliwym oprogramowaniem/anty-ransomware, aby poddać kwarantannie i usunąć złośliwe oprogramowanie.

Ważny:Kontaktując się z usługami usuwania ransomware, możesz mieć pewność, że na Twoim komputerze i w sieci nie ma śladów ransomware LockBit Green. Usługi te mogą również załatać Twój system, zapobiegając nowym atakom.

4. Użyj kopii zapasowej, aby przywrócić dane

Kopie zapasowe to najskuteczniejszy sposób odzyskiwania danych. Pamiętaj o codziennym lub cotygodniowym tworzeniu kopii zapasowych, w zależności od wykorzystania danych.

5. Skontaktuj się z usługą odzyskiwania oprogramowania ransomware

Jeśli nie masz kopii zapasowej lub potrzebujesz pomocy w usunięciu oprogramowania ransomware i wyeliminowaniu luk, skontaktuj się z firmą zajmującą się odzyskiwaniem danych. Zapłata okupu nie gwarantuje, że Twoje dane zostaną zwrócone. Jedynym gwarantowanym sposobem na przywrócenie każdego pliku jest utworzenie jego kopii zapasowej. Jeśli tego nie zrobisz, usługi odzyskiwania danych ransomware mogą pomóc Ci odszyfrować i odzyskać pliki. Eksperci SalvageData mogą bezpiecznie przywrócić Twoje pliki i zapobiec ponownemu atakowi ransomware LockBit Green na Twoją sieć. Skontaktuj się z naszymi ekspertami 24 godziny na dobę, 7 dni w tygodniu, aby uzyskać usługę odzyskiwania awaryjnego.

Zapobiegnij atakowi ransomware LockBit Green

Najlepszym rozwiązaniem zapewniającym bezpieczeństwo danych jest zapobieganie oprogramowaniu ransomware. jest łatwiejsze i tańsze niż ich odzyskanie. Oprogramowanie ransomware LockBit Green może kosztować przyszłość Twojej firmy, a nawet zamknąć jej drzwi. Oto kilka wskazówek, dzięki którym możeszunikaj ataków ransomware:

  • Zainstaluj oprogramowanie antywirusowe i chroniące przed złośliwym oprogramowaniem.
  • Stosuj niezawodne rozwiązania w zakresie cyberbezpieczeństwa.
  • Używaj silnych i bezpiecznych haseł.
  • Aktualizuj oprogramowanie i systemy operacyjne.
  • Wdrażaj zapory ogniowe dla dodatkowej ochrony.
  • Utwórz plan odzyskiwania danych.
  • Regularnie planuj tworzenie kopii zapasowych, aby chronić swoje dane.
  • Zachowaj ostrożność w przypadku załączników do wiadomości e-mail i plików pobranych z nieznanych lub podejrzanych źródeł.
  • Przed kliknięciem na reklamy sprawdź bezpieczeństwo reklam.
  • Korzystaj ze stron internetowych tylko z zaufanych źródeł.

Stosując się do tych praktyk, możesz zwiększyć swoje bezpieczeństwo w Internecie i chronić się przed potencjalnymi zagrożeniami.

Related Posts

Poprawka: Hulu napotkaliśmy błąd podczas przełączania profili

Poprawka: Hulu napotkaliśmy błąd podczas przełączania profili

2023-03-10
Jak odblokować laptop Dell Vostro po zapomnieniu hasła Windows 8 lub 7

Jak odblokować laptop Dell Vostro po zapomnieniu hasła Windows 8 lub 7

2025-05-08
Najlepsze przestrzenie coworkingowe

Najlepsze przestrzenie coworkingowe

2025-05-17
Jak uciszyć zegarek Apple Watch: 2025 Przewodnik

Jak uciszyć zegarek Apple Watch: 2025 Przewodnik

2025-07-17
Jak tworzyć i sformatować partycję dysku twardego w systemie Windows 10

Jak tworzyć i sformatować partycję dysku twardego w systemie Windows 10

2025-04-30
Jak wstawić pole wyboru w programie Word, aby utworzyć listę kontrolną

Jak wstawić pole wyboru w programie Word, aby utworzyć listę kontrolną

2023-12-29
Top 30 najlepszych pomysłów na domki w Minecraft na rok 2024

Top 30 najlepszych pomysłów na domki w Minecraft na rok 2024

2023-12-09
Sztuczna inteligencja

Sztuczna inteligencja

2025-01-18
Jak przenieść dane z iPhone'a na iPhone'a 16? 7 kreatywnych metod

Jak przenieść dane z iPhone'a na iPhone'a 16? 7 kreatywnych metod

2024-09-24
Wyjaśnienie ustawień UniFi Local & Server DNS

Wyjaśnienie ustawień UniFi Local & Server DNS

2024-09-12
Jak naprawić powinieneś używać trwałej pamięci podręcznej obiektów w WordPress

Jak naprawić powinieneś używać trwałej pamięci podręcznej obiektów w WordPress

2024-12-03
Rozwój witryny biznesowej z zoptymalizowaną prędkością

Rozwój witryny biznesowej z zoptymalizowaną prędkością

2024-11-30
Jak łatwo kogoś unbanować na niezgodę

Jak łatwo kogoś unbanować na niezgodę

2023-12-19
Propagacja DNS: czym jest i dlaczego jest ważna

Propagacja DNS: czym jest i dlaczego jest ważna

2024-11-24
Jak usunąć pliki kopii zapasowej w systemie Windows 10

Jak usunąć pliki kopii zapasowej w systemie Windows 10

2023-11-26