无法想象！Lockbit杀手锏“三重勒索”，让你的数据宛如囊中之物(6)

然后，恶意软件收集系统信息，如主机名、域信息、本地驱动器配置、远程共享和装载的存储设备，然后将开始加密它可以访问的本地和远程设备上的所有数据。但是会跳过会影响操作系统运行的文件不进行加密。加密时使用多线程，每次仅加密每个文件的前4KB。根据在暗网上的资料显示，LockBit以每秒373M的速度位列所有勒索病毒的第一名，加密100GB的文件仅需要4分半钟。
最后，它通过改变用户的桌面墙纸，提供如何联系攻击者的信息，从而发出一张勒索信。

LockBit 3.0的勒索信不再名为Restore-My-Files.txt
而是一个名为“ [random_string].README.txt ”的随机动态文本，加密扩展名也变化为“HLJkNskoq”或“19MqzqzOs”等随机形式。
除了加密数据之外，LockBit还开发了StealBit工具配合使用，该工具将加密前的数据直接上传到LockBit的服务器，实现“双重勒索”，先在网站上泄露一小部分窃取的数据作为威胁，如不支付赎金，就会公开所有的企业机密数据。据LockBit描述，StealBit窃密工具速度可达到83.46MB/S，窃取100G的文件用时只需要19分钟58秒。
去年招募DDoS选手之后，LockBit准备将DDoS作为新增的“第三重”勒索手段，不给钱也可以打瘫你的业务。

7、深入渗透

在获得对网络的初始访问后，LockBit部署了各种工具在内网中横向渗透。这些工具包括Mimikatz等用于收集登陆凭据；利用Process Hacker和PC Hunter等合法工具来终止受害系统中的安全防护进程和服务；扫描网络135端口及445端口以进行横向移动，端口 135 用于 RPC 客户端-服务器通信，端口445用于身份验证和文件共享，LockBit使用收集的登陆凭据，使用免杀的微软PsExec工具通过Windows共享服务获得远程系统的控制权，传播自身到其他系统。