还以为Revil和Dark Side的离开是个好消息呢，结果更让人头疼的勒索病毒登场了。据悉，这款勒索病毒会接近受害组织的成员，并引诱他们“只要在攻击中给予一点帮助，就会分享利润”。这样的勒索病毒还是第一次见到，它就是“Lockbit 2.0”。

      一、Lockbit勒索病毒介绍和演变过程

（一）介绍

Lockbit勒索病毒是一种采用强大的加密算法致使用户支付赎金的加密病毒。它使用垃圾邮件、网络钓鱼、软件漏洞以及远程桌面协议（RDP）等各种方法侵入目标计算机。一旦侵入目标计算机，它就会启动扫描程序查找那些可能对用户有价值的文件类型（如图片、视频和音频、文档、压缩文件等）。然后，Lockbit勒索病毒会对所有找到的文件进行加密，以便向受害者勒索赎金，并威胁称若受害者不支付赎金，文件就会被泄露。Lockbit勒索病毒一般使用AES和RSA密码组合来加密文件，所以恢复数据极为困难。

（二）演变过程

2019年10月，勒索病毒“Lockbit”首次出现在人们的视野中，当时安全业界称其为“ABCD”。这是因为它在加密文件时，使用“.abcd”扩展名重命名文件。后来经过不断的改进演变，2021年6月，它以“Lockbit 2.0”的新面貌展现在公众面前。

变种1 — .abcd 扩展名

LockBit 的原始版本使用“.abcd”扩展名重命名文件。受害者电脑的每个文件夹中包括一个“Restore-My-Files.txt”赎金说明文件，其中包含要求事项和所谓的文件恢复指导。

变种2 — .LockBit 扩展名

Lockbit勒索病毒的第二个版本采用“.LockBit”文件扩展名。据悉，数据加密完成后，此版本病毒会传递来自攻击者的消息，可将其编译成“Restore-My-Files.txt”赎金说明文件。

变种3 — .LockBit version 2

此病毒版本不再需要在其赎金说明文件中下载Tor浏览器，只要接入传统的互联网就能将受害者指引到备用网站。

变种4 — .LockBit 2.0

LockBit 2.0是LockBit的最新版本，这个版本的病毒侵入受害者的电脑后会更换电脑壁纸，并将赎金说明及要求事项直接写在电脑壁纸上。

（一）自动加密

据安全公司“趋势科技（Trend Micro）”透露，Lockbit 2.0 在勒索攻击中具有使用“活动目录（Active Directory）” 组策略自动加密 Windows 域名内设备的功能。凭借这一自动加密功能，LockBit 2.0成为目前最受欢迎的勒索软件。此外，Lockbit 2.0还具有终止安全工具、服务和进程的功能，这是当今几乎所有勒索软件上普遍搭载的功能。

（二）加密速度快、加密数据量小

Lockbit 2.0号称是全球加密最快的勒索病毒（之前REvil称自己是世界上加密速度最快、窃取数据最快的勒索病毒），它可以在4分28秒内加密100GB的数据，并公布出包括其之前版本的加密测试速度对比图予以证明。Lockbit 2.0之所以加密速度这么快，与其加密方式有关。据趋势科技对Lockbit 2.0的分析报告显示，Lockbit 2.0对每个文件只加密4 KB的数据。

（三）攻击策略新颖

Lockbit 2.0首次推出新型攻击策略十分引人关注。安全公司Palo Alto Networks的威胁情报分析师德尔·桑托斯（Doel Santos）表示：“Lockbit 2.0的运营者们侵入受害者的电脑后，更换了电脑壁纸。当然这是一张带有威胁及要求事项的壁纸。关键是这个要求事项非常巧妙。内容是，如果你向攻击者提供任意装备的访问权限，我们将会把公司向勒索软件攻击者支付赎金的一部分作为奖励送给你。我还是第一次看到这样的威胁内容。说不定其他勒索软件攻击者也会效仿。”

（四）购买RDP凭据

众所周知，Lockbit2.0的运营者们擅长利用RDP（远程桌面协议）的弱口令攻击，他们会扫描大量漏洞并进行凭证填充（credential stuffing）和社会工程攻击。但最新调查显示，Lockbit2.0的运营者们更多的是从暗网的其他卖家处直接购买RDP凭据。对此，桑托斯解释道：“RDP凭据在暗网上通常以 5 美元左右的价格出售。与勒索软件攻击者从受害者那里获得的赎金相比，这是一笔微不足道的投资。这也让攻击变得更加简单。”

近期，LockBit勒索病毒似乎迎来了鼎盛时期。自2021年6月它以“Lockbit 2.0”的新面貌重新出现以来，英国、美国、阿根廷、澳大利亚、奥地利、马来西亚、德国和意大利等多个国家和地区的组织相继遭到了Lockbit 2.0的破坏。桑托斯表示：“根据Lockbit运营者为披露信息而创建的暗网上的信息推测，约有52个组织受到了攻击。”他解释说，这个数字是勒索软件行业的“顶级”。

LockBit 2.0勒索病毒之所以如此“火爆”，是外因和内因共同作用的结果。外因是，不久前强大的勒索软件REvil和Dark Side相继消失，缺少了有力的竞争对手。内因是，这款勒索病毒对此前一直使用的有效载荷进行了更新升级，并且攻击策略更具吸引力和攻击性。

正如趋势科技的副总裁Jon Clay 所说：“Lockbit勒索组织不断改变和发展他们的攻击策略和技术。只有这样，才能延续目前的‘服务型’或‘租赁型’勒索软件业务。” “看起来好像主要竞争对手刚刚从市场上消失了它才登场的，但实际上，如果Lockbit自己没有准备好的话，就不会出现。所以重新出现的Lockbit很可怕，是因为他们很可能已经准备好了。”

近期不少的安全公司对Lockbit勒索病毒发出警告，尽管如此仍然不断有企业或组织“中招”。8月10日晚，Lockbit勒索组织在其暗网网站上发布了关于全球IT咨询巨头埃森哲遭受勒索攻击的相关消息。据悉，Lockbit勒索组织不仅加密了埃森哲2500台设备，还从内网中窃取了6TB数据，并发布警告称：若不在指定时间内支付5000万美元赎金，将公开发布窃取到的全部数据。

网络攻击组织的品牌重塑很常见，通常是为了告诉大家它的攻击技术和策略比之前有了很大的提高而改名。从目前情况来看，现在的Lockbit 2.0版本在功能上比以往任何版本都强大，在业界影响力上比以往任何时候都更加成功。它会不会最终成为勒索病毒界的“新霸主”，我们拭目以待。

      （资料来源：韩国安全新闻网站、电脑报等相关文章。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。如果相关作者认为摘选不妥，请联系我们删除。）