研究人员警告说，NotLockBit 是一个模仿 LockBit 勒索软件的新型恶意软件系列，可影响 Windows 和 macOS 系统。

该恶意软件似乎是首个针对 macOS 系统的全功能勒索软件，超越了以前的概念验证（PoC）样本。

什么是 NotLockBit 勒索软件？

安全研究人员称，NotLockBit 是一款 Go 编写的恶意软件。与许多其他勒索软件一样，它的目的是实现双重勒索：

• 加密文件，使受害者无法读取文件
• 删除阴影副本，防止数据恢复

NotLockBit 会用“.abcd ”扩展名标记加密文件。然后，它会在每个被破坏的文件夹中留下一张赎金条，并试图用 LockBit 2.0 的横幅来更改桌面墙纸。

该恶意软件使用 RSA 非对称加密，这意味着没有私钥就无法解密主密钥。

在开始加密过程之前，勒索软件会将数据外泄到攻击者控制的亚马逊 S3 存储桶中。为此，它使用了硬编码的 AWS 凭据。研究人员告诉 SecurityWeek.com：

我们怀疑勒索软件作者使用的是他们自己的 AWS 账户或被入侵的 AWS 账户。我们发现了三十多个可能来自同一作者的样本，这表明该勒索软件正在被积极开发和测试。

来源：SecurityWeek.com

目前，他们已经向 AWS 报告了这一恶意活动，AWS 暂停了访问密钥和相关账户。

不过，运行 macOS 系统的安全团队应保持警惕，因为该威胁仍在全面发挥作用。

如何确保 macOS 系统免受 NotLockBit 的攻击

作为分层防御策略的一部分，DNS 过滤是最有效的勒索软件预防工具之一。

要窃取并加密你的数据，黑客需要在你的电脑上部署勒索软件。然后，他们必须与指挥控制中心建立连接，安装其他恶意软件。最后，他们还必须使用另一个连接将数据外泄到 C2。所有这三个步骤都意味着黑客必须在计算机和恶意域之间建立连接。这就是 DNS 过滤发挥作用的地方。

最好的 DNS 安全软件运行的引擎可以检测并阻止恶意域，即使没有人将其标记为恶意域。如果员工打开钓鱼邮件并点击恶意链接，即使该域名没有被列入黑名单，DNS 过滤器也会将其识别为有害域名。因此，它会当场阻止连接。没有恶意通信，没有恶意软件部署，也就不会造成危害。