关于Lockbit勒索病毒攻击事件的紧急预警

一、安全预警

接公安网警部门通知，公安机关发现境外组织频繁使用 Lockbit勒索病毒对我国政府和企业实施攻击，目前已发现国内多个区域不同行业用户遭到攻击。请各用户高度重视，加强网络安全防护，切实保障网络系统安全稳定运行。

请各用户高度重视网络安全，加强网络安全防护，切实保障网络系统安全稳定运行。

二、事件信息

（一）事件概要

（二）病毒介绍

该病毒使用 RSA+AES 算法加密文件，加密过程采用了 IOCP 完成端口+AES-NI 指令集提升其病毒工作效率，从而实现对文件的高性能加密流程。由于该病毒暂无有效的解密工具，被攻击后无法恢复文件。

三、解决方案

1、全网安装专业的终端安全管理软件，由管理员批量杀毒 和安装补丁，后续定期更新各类系统高危补丁。

2、部署流量监控/阻断类设备/软件，便于事前发现,事中阻断和事后回溯。

3、建议由于其他原因不能及时安装补丁的系统，考虑在网络边界、路由器、防火墙上设置严格的访问控制策略，以保证网络的动态安全。

4、建议对于存在弱口令的系统，需在加强使用者安全意识的前提下，督促其修改密码，或者使用策略来强制限制密码长度和复杂性。

5、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

6、建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞，攻与防的循环，伴随每个主流操作系统、应用服务的生命周期。

7、对重要文件和数据（数据库等数据）进行定期非本地备份。

8、建议企业对全网进行一次安全检查和杀毒扫描，加强防 护工作。

四、应急处置建议

一旦发现系统中存在漏洞被利用的情况，要第一时间上报属地的公安网警部门，同时开展以下紧急处置：

一是立即断开被入侵的主机系统的网络连接，防止进一步危害；

二是留存相关日志信息；

三是通过“解决方案”加固系统并通过检查确认无相关漏洞后再恢复网络连接。