【数据恢复案例】西北某公司服务器感染.lockbit勒索病毒数据恢复

目录

前言：案例简介

一、什么是.lockbit勒索病毒？

二、中了.lockbit后缀勒索病毒文件怎么恢复？

三、恢复案例介绍：

1. 被加密数据情况

2. 数据恢复完成情况

3. 数据恢复工期

系统安全防护措施建议：

---

前言：案例简介

        近日，国内西北某公司服务器中了后缀.lockbit勒索病毒，公司的服务器文件全部中毒，所有软件服务器和文件服务器的文件被全部加密，亟需数据恢复，否则公司业务无法运转，对公司销售和生产业务影响较大，经国内某安全厂商介绍，客户联系了我们91数据恢复团队，经我们91数据恢复工程师远程检测分析，迅速沟通确定了最快及保障恢复率的数据恢复方案，接着工程师团队紧急安排通宵达旦争分夺秒帮助客户完成恢复数据，文件类数据恢复率达100%+，数据库文件100%恢复，最终获得了客户高度满意好评。如需恢复数据，可添加我们的数据恢复服务号（shujuxf）进行免费检测与咨询获取数据恢复的相关帮助。

---

一、什么是.lockbit勒索病毒？

           .lockbit勒索病毒与大多数勒索病毒一样，.lockbit勒索病毒通过加密阻止对文件的访问，更改文件名并向受害者提供有关如何恢复其文件的说明。该勒索病毒通过加密文件并在文件名后附加“ .lockbit ”扩展名来重命名所有加密文件。

         .lockbit 勒索病毒将扫描您的计算机以查找图像、视频以及重要的生产力文档和文件，例如 .doc、.docx、.xls、.pdf。当检测到这些文件时，勒索软件会对它们进行加密并将其扩展名更改为“.lockbit”，这样您就无法再打开它们。

        老牌勒索病毒LockBit升级为LockBit 2.0，并 承诺通过名为“StealBit”的新工具提供市场上最快的数据上传速度，该工具还支持实时压缩和拖放功能，并且对安全工具保持隐藏。根据 LockBit 的承诺，它可以在不到 20 分钟的时间内从受感染的系统下载 100 GB 的数据。

        这对于勒索病毒攻击者来说非常重要，因为他们泄露数据的速度越快，在此过程中被用户发现和阻止的机会就越少。窃取数据是当今勒索病毒攻击的重点，因为这些数据通常是受害者支付赎金的唯一原因。

新版LockBit2.0的特性介绍：

1.Tor系统管理员面板；

2.可通过Tor与公司沟通，聊天室推送通知自动测试解密；自动解密检测；

3.端口扫描器位于本地子网中，可以检测所有DFS、SMB、Webdav共享

4.在运行时在域网络中自动分发，而无需脚本终止干扰服务和进程

5.阻止进程启动，可以破坏加密进程的文件权限设置和删除阻止属性删除卷影副本；

6.创建隐藏分区、拖放文件和文件夹：清除日志和自清除；窗口或隐藏操作模式；

7.启动通过局域网唤醒关闭的计算机；网络打印机打印输出要求；适用于所有版本的Windows操作系统：

8.可以以极快的速度上传用户的数据，以泄露数据来威胁用户。

感染.lockbit后缀勒索病毒建议立马做以下几件事情:

1.将感染病毒的断开互联网连接；

2.拔下所有存储设备；

3.注销云存储帐户；

4.关闭所有共享文件夹；

5.寻求专业数据恢复公司的帮助，千万不要擅自进行文件后缀修改，这将二次破坏文件内容，可能导致后期数据无法恢复。

.lockbit勒索病毒是如何传播感染的？

经过分析多家公司中毒后的机器环境判断，勒索病毒基本上是通过以下几种方式入侵，请大家可逐一了解并检查以下防范入侵方式，毕竟事前预防比事后恢复容易的多。

远程桌面口令爆破

    关闭远程桌面，或者修改默认用户administrator

共享设置

    检查是否只有共享出去的文件被加密。 

激活/破解

    检查中招之前是否有下载未知激活工具或者破解软件。 

僵尸网络

    僵尸网络传播勒索病毒之前通常曾在受害感染设备部署过其它病毒木马，可通过使用杀毒软件进行查杀进行判断。 

第三方账户  

    检查是否有软件厂商提供固定密码的账户或安装该软件会新增账户。包括远程桌面、数据库等涉及到口令的软件。 

---

二、中了.lockbit后缀勒索病毒文件怎么恢复？

此后缀病毒文件由于加密算法的原因，每台感染的电脑服务器文件都不一样，需要独立检测与分析加密文件的病毒特征与加密情况，才能确定最适合的恢复方案。

考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性，可添加我们的技术服务号（sjhf91）进行免费咨询获取数据恢复的相关帮助。

---

三、恢复案例介绍：

1. 被加密数据情况

        一台服务器，被加密的文件数据量约96万+个。

2. 数据恢复完成情况

        数据完成恢复，96万+个文件，全部文件已恢复，恢复率等于100%。恢复完成的文件均可以正常打开及使用。

3. 数据恢复工期

恢复工期：

       一台服务器，我们团队在收到客户当天下单开始执行恢复施工，最终于第二天完成了全部数据的恢复，耗时15个小时。

系统安全防护措施建议：

1.多台机器，不要使用相同的账号和口令

2.登录口令要有足够的长度和复杂性，并定期更换登录口令

3.重要资料的共享文件夹应设置访问权限控制，并进行定期备份

4.定期检测系统和软件中的安全漏洞，及时打上补丁。

5.定期到服务器检查是否存在异常。

6.安装安全防护软件，并确保其正常运行。

7.从正规渠道下载安装软件。

8.对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行。 

9.保存良好的备份习惯，尽量做到每日备份，异地备份。