風險等級：

高度威脅 　

摘　　要：

病毒通告：LockBit 3.0 勒索軟體

影響系統：

解決辦法：

建議措施方式如下：

1.使用至少 8 個字符且長度不超過 64 個字串的更長密碼。

2.使用行業認可的密碼管理器以散列格式存儲密碼。

3.將密碼用戶“salts”添加到共享登錄憑據。

4.避免重複使用密碼。

5.實施多次失敗的登錄嘗試帳戶鎖定。

6.禁用密碼“提示”。

7.避免要求更改密碼的頻率超過每年一次。

注意： NIST 指南建議使用更長的密碼，而不是要求定期和頻繁的密碼重置。頻繁的密碼重置更有可能導致用戶開發網絡罪犯可以輕易破譯的密碼“模式”。

8.需要管理員憑據才能安裝軟體。

9.使所有操作系統、軟體和硬體保持最新。

10.使用網絡監控工具識別、檢測和調查指示的勒索軟體的異常活動和潛在遍歷。

細節描述：

LockBit 3.0 勒索軟體操作充當勒索軟體即服務 (RaaS) 模型，是勒索軟體、LockBit 2.0 和 LockBit 先前版本的延續。自 2020 年 1 月以來，LockBit 一直充當基於附屬的勒索軟體；部署 LockBit RaaS 的附屬公司使用許多不同的 TTP 並攻擊範圍廣泛的企業和關鍵基礎設施組織，這使得有效的計算機網絡防禦和緩解具有挑戰性。

LockBit 3.0 在編譯時配置了許多不同的選項，這些選項決定了勒索軟體的行為。在受害者環境中實際執行勒索軟體時，可以提供各種參數以進一步修改勒索軟體的行為。例如，LockBit 3.0 接受橫向移動和重新啟動到安全模式中特定操作的附加參數。如果 LockBit 附屬機構無法詢問到密碼，LockBit 3.0 勒索軟則在執行勒索軟體期間必須提供密碼參數。未能輸入正確密碼的 LockBit 3.0 分支機構將無法執行勒索軟體密碼是解碼 LockBit 3.0 可執行文件的加密密鑰。通過以這種方式保護代碼，LockBit 3.0 阻礙了惡意軟體檢測和分析，程式碼在其加密形式下無法執行和讀取。基於簽名的檢測可能無法檢測到 LockBit 3.0 可執行文件，因為可執行文件的加密部分會根據用於加密的加密密鑰而有所不同，同時還會生成唯一的hash值。當提供正確的密碼後，LockBit 3.0 將解密主要組件，繼續解密或解壓縮其程式碼，並執行勒索軟體。

參考資訊：

cisa