关于Lockbit勒索病毒攻击事件的紧急预警
一、安全预警
接公安网警部门通知,公安机关发现境外组织频繁使用 Lockbit勒索病毒对我国政府和企业实施攻击,目前已发现国内多个区域不同行业用户遭到攻击。请各用户高度重视,加强网络安全防护,切实保障网络系统安全稳定运行。
请各用户高度重视网络安全,加强网络安全防护,切实保障网络系统安全稳定运行。
二、事件信息
(一)事件概要
事件名称 | |
传播方式 |
(二)病毒介绍
该病毒使用 RSA+AES 算法加密文件,加密过程采用了 IOCP 完成端口+AES-NI 指令集提升其病毒工作效率,从而实现对文件的高性能加密流程。由于该病毒暂无有效的解密工具,被攻击后无法恢复文件。
三、解决方案
1、全网安装专业的终端安全管理软件,由管理员批量杀毒 和安装补丁,后续定期更新各类系统高危补丁。
2、部署流量监控/阻断类设备/软件,便于事前发现,事中阻断和事后回溯。
3、建议由于其他原因不能及时安装补丁的系统,考虑在网络边界、路由器、防火墙上设置严格的访问控制策略,以保证网络的动态安全。
4、建议对于存在弱口令的系统,需在加强使用者安全意识的前提下,督促其修改密码,或者使用策略来强制限制密码长度和复杂性。
5、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
6、建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞,攻与防的循环,伴随每个主流操作系统、应用服务的生命周期。
7、对重要文件和数据(数据库等数据)进行定期非本地备份。
8、建议企业对全网进行一次安全检查和杀毒扫描,加强防 护工作。
四、应急处置建议
一旦发现系统中存在漏洞被利用的情况,要第一时间上报属地的公安网警部门,同时开展以下紧急处置:
一是立即断开被入侵的主机系统的网络连接,防止进一步危害;
二是留存相关日志信息;
三是通过“解决方案”加固系统并通过检查确认无相关漏洞后再恢复网络连接。