Home LockBit Green Ransomware: o guia completo

LockBit Green Ransomware: o guia completo

LockBit Green é uma nova variante do ransomware LockBit que foi relatada pela primeira vez pelo coletivo de segurança cibernética VX-Underground. É baseado nocódigo-fonte vazado do ransomware Contie foi projetado para direcionar serviços baseados em nuvem.LockBit Green é a terceira versão do ransomware LockBit, com variantes anteriores sendo rastreadas como LockBit Red e LockBit Black. A gangue LockBit RaaS lançou o LockBit Green, que está disponível para seus afiliados usando o recurso de construtor no portal LockBit. A gangue modificou seuVariante de ransomware VMware ESXI, que é um hipervisor tipo 1 de classe empresarial desenvolvido pela VMware para implantar e servir máquinas virtuais. Os especialistas da SalvageData recomendam medidas proativas de segurança de dados, como backups regulares, práticas rigorosas de segurança cibernética e manutenção do software atualizado, para proteção contra ataques de ransomware. E,em caso de ataque de ransomware, entre em contato com nossoespecialistas em recuperação de ransomwareimediatamente.

Que tipo de malware é o LockBit Green?

LockBit Green é um tipo de malware, conhecido como ransomware, que criptografa os dados das vítimas e depois exige um resgate, geralmente pago em criptomoeda, em troca do descriptografador. LockBit Green usa um novo criptografador baseado em Conti. O ransomware criptografa os dados da vítima e anexa uma extensão aleatória aos nomes de todos os arquivos criptografados. O processo de criptografia é automático e tem como alvo dispositivos em domínios do Windows. A chave AES é gerada usando BCryptGenRandom e, para uma criptografia mais rápida, ela criptografa apenas os primeiros 4 KB de um arquivo e o anexa a extensões aleatórias. O ransomware geralmente é executado por meio da linha de comando, pois aceita parâmetros de caminhos de arquivos ou diretórios, se desejado, para criptografar apenas caminhos específicos.

Tudo o que sabemos sobre o LockBit Green Ransomware

Nome confirmado

  • Vírus LockBit Verde

Tipo de ameaça

  • Ransomware
  • vírus criptográfico
  • Armário de arquivos
  • Dupla extorsão

Extensão de arquivos criptografados

  • Extensão aleatória

Mensagem exigindo resgate

  • !!!-Restaurar-meus-arquivos-!!!.txt

Nomes de detecção

  • AvastWin32: Conti-B [resgate]
  • MédiaWin32: Conti-B [resgate]
  • EmsisoftGen:Variant.Ser.Zusy.4033 (B)
  • MalwarebytesGeneric.Ransom.FileCryptor.DDS
  • KasperskyUDS:DangerousObject.Multi.Generic
  • SophosMal/Genérico-S
  • MicrosoftResgate:Win32/Conti.AD!MTB

Métodos de distribuição

  • E-mails de phishing
  • Servidores comprometidos.
  • Credenciais VPN de força bruta
  • Explorando vulnerabilidades.
  • Engenharia Social
  • Anúncios e sites maliciosos
  • Explorando o protocolo de área de trabalho remota (RDP)
  • Ataques à cadeia de suprimentos

Consequências

Veja também:BlackSuit Ransomware: o guia completo

  • Os arquivos são criptografados e bloqueados até o pagamento do resgate
  • Vazamento de dados
  • Dupla extorsão

Existe um descriptografador gratuito disponível?

No.Não há nenhum descriptografador público conhecido para o ransomware LockBit Green disponível no momento.

O que são os IOCs do ransomware LockBit Green?

Indicadores de comprometimento (IOCs) são artefatos observados em uma rede ou sistema operacional que indicam uma invasão de computador com alta confiança. Os IOCs podem ser usados ​​para detecção precoce de futuras tentativas de ataque usando sistemas de detecção de intrusões e software antivírus. Eles são essencialmente versões digitais de evidências deixadas na cena do crime, e os IOCs potenciais incluem tráfego de rede incomum, logins de usuários privilegiados de países estrangeiros, solicitações estranhas de DNS, alterações em arquivos do sistema e muito mais. Quando um IOC é detectado, as equipes de segurança avaliam possíveis ameaças ou validam sua autenticidade. Os IOCs também fornecem evidências do que um invasor teria acesso caso se infiltrasse na rede. Os Indicadores de Compromisso (IOCs) do ransomware LockBit Green incluem:

  • Arquivos criptografados com uma extensão aleatória adicionada aos seus nomes de arquivo
  • Uma nota ou mensagem de resgate exibida na tela da vítima ou em um arquivo de texto
  • Tráfego ou atividade de rede incomum, como grandes quantidades de dados sendo transferidas para locais desconhecidos
  • Processos ou serviços suspeitos em execução no sistema da vítima
  • Alterações nas definições ou configurações do sistema, como desabilitar software de segurança ou modificar chaves de registro

Caso algum desses sinais seja detectado, é importante isolar o sistema afetado da rede e procurar assistência de um profissional de segurança qualificado para investigar e remediar o ataque. Também é recomendado fazer backup regularmente de dados importantes e implementar práticas recomendadas de segurança para evitar ataques de ransomware.

Hashes de arquivo do ransomware LockBit Green

Arquivos hashes de ransomware são identificadores exclusivos que representam um arquivo específico ou conjunto de arquivos que foram criptografados por ransomware. Esses hashes podem ser usados ​​para identificar e rastrear ataques de ransomware e para desenvolver assinaturas de software antivírus para detectar e bloquear infecções de ransomware. Hashes de arquivo LockBit Green:

  • 102679330f1e2cbf41885935ceeb2ab6596dae82925deec1aff3d90277ef6c8c
  • 32eb4b7a4d612fac62e93003811e88fbc01b64281942c25f2af2a0c63cdbe7fa
  • 5c5c5b25b51450a050f4b91cd2705c8242b0cfc1a0eaeb4149354dbb07979b83
  • 7509761560866a2f7496eb113954ae221f31bc908ffcbacad52b61346880d9f3
  • 924ec909e74a1d973d607e3ba1105a17e4337bd9a1c59ed5f9d3b4c25478fe11
  • ac49a9ecd0932faea3659d34818a8ed4c48f40967c2f0988eeda7eb089ad93ca
  • fc8668f6097560f79cea17cd60b868db581e51644b84f5ad71ba85c00f956225
  • ffa0420c10f3d0ffd92db0091304f6ed60a267f747f4420191b5bfe7f4a513a9

O que está na nota de resgate do LockBit Green

A nota de resgate do LockBit Green é idêntica à usada pelo LockBit Black, e o nome do arquivo da nota de resgate foi alterado para “!!!-Restore-My-Files-!!!.txt”. A nota de resgate do LockBit Green afirma que os dados foram roubados e criptografados e avisa que se o resgate não for pago, os dados roubados serão vazados ou vendidos. Os sinalizadores de linha de comando do LockBit Green são idênticos aos do Conti v3, tornando-o um derivado do código-fonte original.É importante observar que pagar o resgate não garante que os invasores fornecerão a chave de descriptografia e pode resultar em novos ataques.

Se você perceber que é uma vítima de ransomware, entrar em contato com os especialistas em remoção de ransomware da SalvageData fornecerá um serviço seguro de recuperação de dados e remoção de ransomware após um ataque.

Como o ransomware LockBit Green se espalha

LockBit Green obtém acesso a serviços baseados em nuvem por vários meios. Aqui estão alguns métodos que o ransomware LockBit Green pode usar para direcionar serviços baseados em nuvem:

  • Explorando vulnerabilidades.O ransomware pode explorar vulnerabilidades na infraestrutura em nuvem, como configurações incorretas ou software desatualizado, para obter acesso não autorizado. Isso pode incluir a exploração de senhas fracas, software sem patch ou configurações de rede inseguras.
  • Phishing e Engenharia Social.Os operadores de ransomware podem usar e-mails de phishing ou outras técnicas de engenharia social para induzir os usuários a clicar em links maliciosos ou baixar anexos infectados. Esses e-mails podem ser projetados para parecerem legítimos e podem conter mensagens convincentes ou fazer-se passar por entidades confiáveis.
  • Credenciais VPN de força bruta.Em alguns casos, o LockBit Green pode chegar por meio de força bruta de credenciais VPN inseguras. Isso pode ocorrer quando senhas fracas ou facilmente adivinhadas são usadas para acesso VPN.
  • Anúncios e sites maliciosos.O ransomware também pode ser distribuído por meio de programas maliciosos ou sites comprometidos. Os usuários podem visitar inadvertidamente um site comprometido ou clicar em um anúncio malicioso, que pode baixar e executar o ransomware em seu sistema.
  • Explorando o protocolo de área de trabalho remota (RDP).Os operadores de ransomware podem tentar explorar conexões fracas ou mal configuradas do Remote Desktop Protocol (RDP) para obter acesso a serviços baseados em nuvem. Uma vez dentro da rede, eles podem se mover lateralmente e infectar outros sistemas.
  • Ataques à cadeia de suprimentos.O ransomware também pode ser introduzido em serviços baseados em nuvem por meio de ataques à cadeia de suprimentos. Isso envolve comprometer fornecedores de software ou prestadores de serviços confiáveis ​​e usar seu acesso para distribuir o ransomware aos seus clientes.
  • Servidores comprometidos.Os operadores LockBit geralmente obtêm acesso às redes por meio de servidores comprometidos. Eles podem explorar vulnerabilidades no software de servidor ou obter acesso por meio de credenciais comprometidas obtidas de afiliados ou outros agentes de ameaças.

Como o ransomware LockBit Green infecta um computador ou rede?

O ransomware LockBit Green funciona criptografando os dados da vítima usando um novo criptografador baseado em Conti. Aqui está um detalhamento de como o processo de criptografia normalmente funciona:

Infecção

LockBit Green obtém acesso a um computador ou rede por vários meios, como e-mails de phishing, servidores comprometidos ou exploração de vulnerabilidades.

Criptografia

Uma vez dentro do sistema, o LockBit Green começa a criptografar os arquivos da vítima. Ele tem como alvo uma ampla variedade de tipos de arquivos, incluindo documentos, imagens e vídeos. O ransomware usa um poderoso algoritmo de criptografia para embaralhar os dados, tornando-os inacessíveis sem a chave de descriptografia.

Extensão de arquivo

LockBit Green acrescenta uma extensão aleatória aos nomes de todos os arquivos criptografados. Esta extensão é exclusiva para cada vítima e serve como identificador do ransomware.

Nota de resgate

Depois de criptografar os arquivos, LockBit Green deixa uma nota de resgate. O conteúdo específico da nota de resgate pode variar, mas normalmente informa à vítima que os seus dados foram encriptados e fornece instruções sobre como pagar o resgate para obter a chave de desencriptação.

Pagamento de resgate

A nota de resgate inclui detalhes sobre como entrar em contato com os operadores de ransomware e efetuar o pagamento. É importante notar que pagar o resgate não garante que os ficheiros serão desencriptados e pode encorajar novos ataques.

Não pague o resgate!Entrar em contato com um serviço de remoção de ransomware pode não apenas restaurar seus arquivos, mas também remover qualquer ameaça potencial.

Como lidar com um ataque de ransomware LockBit Green

Importante:O primeiro passo após identificar os IOCs LockBit Green é recorrer ao seu Plano de Resposta a Incidentes (IRP). Idealmente, você tem um Retentor de Resposta a Incidentes (IRR) com uma equipe confiável de profissionais que podem ser contatados 24 horas por dia, 7 dias por semana, 365 dias por ano, e eles podem tomar medidas imediatas para evitar a perda de dados, reduzir ou eliminar o pagamento de resgate e ajudá-lo em quaisquer responsabilidades legais. dispositivo. Simultaneamente, esta equipe irá ajudá-lo a entrar em contato com as autoridades locais do seu país. Para residentes e empresas dos EUA, é oescritório local do FBIe oCentro de denúncias de crimes na Internet (IC3). Para denunciar um ataque de ransomware, você deve reunir todas as informações possíveis sobre ele, incluindo:

  • Capturas de tela da nota de resgate
  • Comunicações com atores do LockBit Green (se você os tiver)
  • Uma amostra de um arquivo criptografado

No entanto, se você não tiver um IRP ou IRR, ainda poderáentre em contato com profissionais de remoção e recuperação de ransomware. Este é o melhor curso de ação e aumenta muito as chances de remover o ransomware com sucesso, restaurar os dados e prevenir ataques futuros. Recomendamos que vocêdeixe todas as máquinas infectadas como estãoe ligue para umserviço de recuperação de ransomware de emergência.Reiniciar ou desligar o sistema pode comprometer o processo de recuperação. A captura da RAM de um sistema ativo pode ajudar a obter a chave de criptografia, e a captura de um arquivo dropper pode sofrer engenharia reversa e levar à descriptografia dos dados ou à compreensão de como eles funcionam.

O que NÃO fazer para se recuperar de um ataque de ransomware LockBit Green

Você devenão exclua o ransomwaree guarde todas as evidências do ataque. Isso é importante paraperícia digitalpara que os especialistas possam rastrear o grupo de hackers e identificá-los. É usando os dados do seu sistema infectado que as autoridades podeminvestigue o ataque e encontre o responsável.Uma investigação de ataque cibernético não é diferente de qualquer outra investigação criminal: necessita de provas para encontrar os atacantes.

1. Entrando em contato com seu provedor de resposta a incidentes

Uma resposta a incidentes cibernéticos é o processo de resposta e gerenciamento de um incidente de segurança cibernética. Um Retentor de Resposta a Incidentes é um contrato de serviço com um provedor de segurança cibernética que permite às organizações obter ajuda externa com incidentes de segurança cibernética. Ele fornece às organizações uma forma estruturada de conhecimento e suporte por meio de um parceiro de segurança, permitindo-lhes responder de forma rápida e eficaz durante um incidente cibernético. Um retentor de resposta a incidentes oferece tranquilidade às organizações, oferecendo suporte especializado antes e depois de um incidente de segurança cibernética. A natureza e a estrutura específicas de um retentor de resposta a incidentes variam de acordo com o fornecedor e os requisitos da organização. Um bom retentor de resposta a incidentes deve ser robusto, mas flexível, fornecendo serviços comprovados para melhorar a postura de segurança de uma organização a longo prazo.Se você entrar em contato com seu provedor de serviços de RI, ele cuidará de todo o resto.No entanto, se você decidir remover o ransomware e recuperar os arquivos com sua equipe de TI, poderá seguir as próximas etapas.

2. Identifique a infecção por ransomware

Você podeidentificar qual ransomwareinfectou sua máquina pela extensão do arquivo (alguns ransomware usam a extensão do arquivo como nome) ou estará na nota de resgate. Com essas informações, você pode procurar uma chave de descriptografia pública. Você também pode verificar o tipo de ransomware por seus IOCs. Indicadores de comprometimento (IOCs) são pistas digitais que os profissionais de segurança cibernética usam para identificar comprometimentos de sistema e atividades maliciosas em uma rede ou ambiente de TI. Eles são essencialmente versões digitais de evidências deixadas na cena do crime, e possíveis IOCs incluem tráfego de rede incomum, logins de usuários privilegiados de países estrangeiros, solicitações estranhas de DNS, alterações em arquivos do sistema e muito mais. Quando um IOC é detectado, as equipes de segurança avaliam possíveis ameaças ou validam sua autenticidade. Os IOCs também fornecem evidências do que um invasor teria acesso caso se infiltrasse na rede.

3. Remova o ransomware e elimine kits de exploração

Antes de recuperar seus dados, você deve garantir que seu dispositivo esteja livre de ransomware e que os invasores não possam realizar um novo ataque através de kits de exploração ou outras vulnerabilidades. Um serviço de remoção de ransomware pode excluí-lo, criar um documento forense para investigação, eliminar vulnerabilidades e recuperar seus dados. Use software antimalware/antiransomware para colocar em quarentena e remover o software malicioso.

Importante:Ao entrar em contato com os serviços de remoção de ransomware, você pode garantir que sua máquina e rede não tenham vestígios do ransomware LockBit Green. Além disso, esses serviços podem corrigir seu sistema, evitando novos ataques.

4. Use um backup para restaurar os dados

Os backups são a maneira mais eficiente de recuperar dados. Certifique-se de manter backups diários ou semanais, dependendo do uso de dados.

5. Contate um serviço de recuperação de ransomware

Se você não tiver um backup ou precisar de ajuda para remover o ransomware e eliminar vulnerabilidades, entre em contato com um serviço de recuperação de dados. Pagar o resgate não garante que seus dados serão devolvidos a você. A única maneira garantida de restaurar todos os arquivos é se você tiver um backup deles. Caso contrário, os serviços de recuperação de dados de ransomware podem ajudá-lo a descriptografar e recuperar os arquivos. Os especialistas em SalvageData podem restaurar seus arquivos com segurança e evitar que o ransomware LockBit Green ataque sua rede novamente.

Prevenir o ataque de ransomware LockBit Green

Prevenir ransomware é a melhor solução para segurança de dados. é mais fácil e mais barato do que recuperar deles. O ransomware LockBit Green pode custar o futuro da sua empresa e até fechar suas portas. Estas são algumas dicas para garantir que você possaevite ataques de ransomware:

  • Instale software antivírus e antimalware.
  • Empregue soluções confiáveis ​​de segurança cibernética.
  • Utilize senhas fortes e seguras.
  • Mantenha softwares e sistemas operacionais atualizados.
  • Implemente firewalls para proteção adicional.
  • Crie um plano de recuperação de dados.
  • Agende backups regularmente para proteger seus dados.
  • Tenha cuidado com anexos de e-mail e downloads de fontes desconhecidas ou suspeitas.
  • Verifique a segurança dos anúncios antes de clicar neles.
  • Acesse sites apenas de fontes confiáveis.

Ao aderir a essas práticas, você pode fortalecer sua segurança online e proteger-se contra ameaças potenciais.

Related Posts

Como fazer backup e restaurar drivers de dispositivo no Windows 10/8/7

Como fazer backup e restaurar drivers de dispositivo no Windows 10/8/7

2025-05-08
Como reiniciar ou redefinir a barra de tarefas do Windows 11

Como reiniciar ou redefinir a barra de tarefas do Windows 11

2025-03-29
Como corrigir o serviço de política de diagnóstico que não está em execução no Windows 11

Como corrigir o serviço de política de diagnóstico que não está em execução no Windows 11

2025-04-11
Como corrigir as portas USB não funcionando no Windows 11

Como corrigir as portas USB não funcionando no Windows 11

2025-03-31
Como definir a expiração de senha para Microsoft e contas locais

Como definir a expiração de senha para Microsoft e contas locais

2025-04-24
Teste de velocidade da Internet

Teste de velocidade da Internet

2025-04-16
9 Métodos de rastreamento: Bypass Screen Time Passcode no iPhone/iPad sem senha

9 Métodos de rastreamento: Bypass Screen Time Passcode no iPhone/iPad sem senha

2025-04-30
Lockbit 3 Ransomware: O que é e como prevenir e recuperar

Lockbit 3 Ransomware: O que é e como prevenir e recuperar

2025-04-30
7 opções sem preocupações para transferir fotos do Android para o iPhone 16?

7 opções sem preocupações para transferir fotos do Android para o iPhone 16?

2024-09-20
ASUS Anti-Surge foi acionado para proteger o sistema [correção]

ASUS Anti-Surge foi acionado para proteger o sistema [correção]

2025-05-04
Teste de velocidade da Internet

Teste de velocidade da Internet

2025-04-15
Como obter um telefone celular popsocket?

Como obter um telefone celular popsocket?

2025-05-01
Baixe arquivos ISO 24H2 do Windows 11

Baixe arquivos ISO 24H2 do Windows 11

2025-01-22
Como consertar o serviço DSA High Memory e o uso da CPU no Windows

Como consertar o serviço DSA High Memory e o uso da CPU no Windows

2025-05-05
Serviços de gerenciamento de TI para empresas de todos os tamanhos

Serviços de gerenciamento de TI para empresas de todos os tamanhos

2024-12-14