企业安全|中了后缀为.LockBit勒索病毒怎么办（能恢复吗？）数据安全|安全漏洞|数据安全

什么是LockBit勒索病毒？

名称	LockBit病毒
威胁类型	勒索病毒，加密病毒，文件柜。
加密文件扩展名	.abcd，lockbit
检测名称	Avast（Win32：Malware-gen），BitDefender（Gen：Heur.Ransom.Imps.3），ESET-NOD32（多种Win32 / Filecoder.NXQ），卡巴斯基（Trojan.Win32.DelShad.bqj），完整列表检测（VirusTotal）
检测名称（更新的变体）	Avast（Win32：Fraudo [Trj]），BitDefender（Gen：Heur.Ransom.Imps.1），ESET-NOD32（Win32 / Filecoder.NXQ的变种），卡巴斯基（Trojan.Win32.DelShad.chy），完整列表检测数（VirusTotal）
病征	无法打开计算机上存储的文件，以前的功能文件现在具有不同的扩展名（例如，my.docx.locked）。赎金要求消息显示在您的桌面上。网络罪犯要求支付赎金（通常以比特币支付）以解锁您的文件。
分配方式	受感染的电子邮件附件（宏），洪流网站，恶意广告。
损伤	所有文件都是加密的，未经勒索无法打开。可以与勒索病毒感染一起安装其他窃取密码的木马和恶意软件感染。

由MalwareHunterTeam发现，LockBit是一个勒索病毒程序。此分类下的恶意软件旨在加密数据。感染背后的网络罪犯要求为解密工具/软件支付赎金。在加密过程中，LockBit使用扩展名“ .abcd ”重命名文件。此过程之后，将文本文件（“ Restore-My-Files.txt ”）放入每个受影响的文件夹中。
文本文件包含勒索消息，该消息通知受害者他们的数据已加密，并提供有关如何将其还原到原始状态的说明。“ Restore-My-Files.txt ”中的消息在大多数勒索病毒感染的情况下，除非恶意软件开发人员参与，否则解密是不可能的，除非勒索病毒仍在开发中和/或具有某些缺陷/错误。为防止LockBit进一步加密，必须将其删除。不幸的是，删除将不会还原已经受到破坏的数据。唯一可行的解??决方案是从备份中恢复文件（如果该文件是在感染之前制作的，并存储在单独的位置）。BigBossRoss，Mapo和 SaveTheQueen是其他勒索病毒类型程序的示例。所有勒索病毒都会加密数据，并要求支付解密费用。关键差异是使用的加密算法（对称或不对称）和赎金大小。后者通常在三位数和四位数之和（以美元为单位）之间变化。网络罪犯更喜欢使用数字货币（主要是加密货币），因为这些交易很难/不可能追踪。为防止数据受到此类感染，请在未插拔的存储设备和/或远程服务器上保留备份。最好将几个备份副本存储在不同的位置。

LockBit勒索病毒是如何传播感染的？
恶意内容（勒索病毒和其他恶意软件）主要通过木马，垃圾邮件活动，非法软件激活（“破解”）工具，假冒更新程序和不受信任的下载渠道进行传播。木马是旨在引起链条感染（即下载/安装其他恶意软件）的恶意程序。大规模垃圾邮件活动用于发送包含危险文件（或指向危险文件的链接）的电子邮件。这些欺骗性消息通常突出显示为“正式”，“重要”，“紧急”或类似的优先级邮件。感染附件具有多种格式，例如存档文件（ZIP，RAR）和可执行文件（.exe，.run），Microsoft Office和PDF文档，JavaScript等。当文件执行，运行或以其他方式打开时，感染已启动。非法激活工具（“ 非官方和免费的文件托管站点，第三方下载器以及类似来源均不受信任。因此，它们更有可能提供恶意内容以供下载（通常伪装成普通产品和/或与它们捆绑在一起）。非官方和免费的文件托管站点，第三方下载器以及类似来源均不受信任。因此，它们更有可能提供恶意内容以供下载（通常伪装成普通产品和/或与它们捆绑在一起）。
如何保护自己免受LockBit勒索病毒感染？
不相关和/或可疑的电子邮件不应打开。永远不要打开可疑邮件中发现的所有附件（或链接），因为这样做可能会触发它们开始下载/安装恶意软件。建议您仅使用官方和经过验证的下载渠道。程序激活和更新应使用合法开发人员提供的工具/功能进行。非法激活（“破解”）工具和第三方更新程序是高风险的。安装了信誉良好的防病毒/反间谍软件套件并保持最新状态。此外，该软件应用于执行常规系统扫描和消除潜在威胁。如果您的计算机已经感染了LockBit，建议您使用Windows的Malwarebytes进行扫描，以自动消除此勒索病毒。
中了.LockBit文件后缀的勒索病毒文件怎么恢复？
1.如果文件不急需，可以先备份等黑客被抓或良心发现，自行发布解密工具
2.如果文件急需，可以添加我的服务号（shujuxf），发送文件样本给我进行免费咨询数据恢复方案，或者寻求其它第三方解密服务。

预防勒索病毒-日常防护建议：
预防远比救援重要，所以为了避免出现此类事件，强烈建议大家日常做好以下防护措施：
1．多台机器，不要使用相同的账号和口令，以免出现“一台沦陷，全网瘫痪”的惨状；
2．登录口令要有足够的长度和复杂性，并定期更换登录口令；
3．严格控制共享文件夹权限，在需要共享数据的部分，尽可能的多采取云协作的方式。
4．及时修补系统漏洞，同时不要忽略各种常用服务的安全补丁。
5．关闭非必要的服务和端口如135、139、445、3389等高危端口。
6．备份备份备份！！！重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份，对于涉及到机密或重要的文件建议选择多种方式来备份；
7．提高安全意识，不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件，在点击或运行前进行安全扫描，尽量从安全可信的渠道下载和安装软件；
8．安装专业的安全防护软件并确保安全监控正常开启并运行，及时对安全软件进行更新。
【企业安全|中了后缀为.LockBit勒索病毒怎么办（能恢复吗？）】