【安全圈】世界上(shàng)最活躍的勒索病毒又一次升級變種出現

關鍵詞：勒索病毒

Lockbit Ransomware 團夥，也稱為(wèi) Bitwise Spider，是流行(xíng)的 Lockbit Ransomware-as-a-service 背後的網絡犯罪策劃者。他們是最活躍的勒索病毒團夥之一，通(tōng)常每天有(yǒu)多(duō)個(gè)受害者，有(yǒu)時(shí)甚至更高(gāo)。2022 年 3 月 16 日，他們開(kāi)始在其暗網網站(zhàn)上(shàng)不斷宣布新的受害者，比任何勒索病毒組織都要快得(de)多(duō)。

近日，91數(shù)據恢複團隊接到一家(jiā)公司的求助，這家(jiā)公司的服務器(qì)都因中毒感染.lockbit3.0勒索病毒而導緻公司業務停擺或停滞，.lockbit3.0勒索病毒今年突然升級變種傳播，這個(gè)勒索病毒究竟是什麽來(lái)頭與變化？

如需恢複數(shù)據，可(kě)關注“91數(shù)據恢複”進行(xíng)免費檢測與咨詢獲取數(shù)據恢複的相關幫助。下面我們來(lái)了解看看這個(gè)._locked後綴勒索病毒。

一、什麽是Lockbit 3.0勒索病毒？

LockBit 3.0（也稱為(wèi) LockBit Black）是LockBit 勒索軟件的新變種。它加密文件，修改文件名，更改桌面牆紙，并在桌面上(shàng)放置一個(gè)文本文件（名為(wèi)“ [random_string].README.txt ”）。LockBit 3.0 将文件名及其擴展名替換為(wèi)随機動态和(hé)靜态字符串。

LockBit 3.0 如何重命名文件的示例：它将“ 1.jpg ”替換為(wèi)“ CDtU3Eq.HLJkNskOq ”，将“ 2.png ”替換為(wèi)“ PLikeDC.HLJkNskOq ”，将“ 3.exe ”替換為(wèi)“ qwYkH3L.HLJkNskOq ”，等等。

他們于 2019 年 9 月作(zuò)為(wèi) ABCD 勒索病毒開(kāi)始 運營，然後更名為(wèi) Lockbit。他們已更名，并于 2021 年 6 月推出了更好的勒索軟件 Lockbit 2.0。我們已經看到，Lockbit 2.0 勒索軟件引入了卷影(yǐng)複制(zhì)和(hé)日志(zhì)文件删除等新功能，使受害者更難恢複。此外，Lockbit 在最流行(xíng)的勒索軟件團夥中擁有(yǒu)最快的加密速度，在一分鍾內(nèi)加密了大(dà)約 25,000 個(gè)文件。

該病毒團夥起源于俄L斯。根據對 Lockbit 2.0的詳細分析，勒索軟件會(huì)檢查默認系統語言并避免加密，如果受害系統的語言是俄語或鄰近國家(jiā)之一的語言，則會(huì)停止攻擊。

       LockBit 3.0 贖金票(piào)據概述

贖金說明(míng)指出數(shù)據被盜并加密。如果受害者不支付贖金，數(shù)據将發布在暗網。它指示使用提供的網站(zhàn)和(hé)個(gè)人(rén) ID 聯系攻擊者。此外，贖金記錄警告說，删除或修改加密文件将導緻解密問題。

LockBit 3.0 還(hái)引入了漏洞賞金計(jì)劃
随着 LockBit 3.0 的發布，該行(xíng)動引入了勒索軟件團夥提供的第一個(gè)漏洞賞金計(jì)劃，要求安全研究人(rén)員提交漏洞報告以換取 1,000 至 100 萬美元的獎勵。
“我們邀請(qǐng)地球上(shàng)所有(yǒu)的安全研究人(rén)員、道(dào)德和(hé)不道(dào)德的黑(hēi)客參與我們的漏洞賞金計(jì)劃。報酬金額從 1000 美元到 100 萬美元不等，”LockBit 3.0 漏洞賞金頁面寫道(dào)。

二、Lockbit3.0勒索病毒攻擊的分析：

新版本的 LockBit（Lockbit 3.0 或 LockBitBlack）使用了一種代碼保護機制(zhì)，即二進制(zhì)文件中存在加密代碼部分，從而阻礙惡意軟件檢測，尤其是在通(tōng)過自動分析執行(xíng)時(shí)。

要激活惡意軟件的正确執行(xíng)， 必須在啓動惡意文件時(shí)提供 解密密鑰作(zuò)為(wèi)參數(shù) ( -pass )，如果沒有(yǒu)此密鑰，其行(xíng)為(wèi)隻會(huì)在執行(xíng)開(kāi)始時(shí)導緻軟件崩潰。用于分析樣本的解密密鑰報告如下：

db66023ab2abcb9957fb01ed50cdfa6a

當程序啓動時(shí)，要調用的第一個(gè)子例程 ( sub_41B000 ) 負責執行(xíng)二進制(zhì)部分的解密，方法是從執行(xíng)參數(shù)中檢索解密密鑰并将其傳遞給 RC4 密鑰調度算(suàn)法 (KSA) 算(suàn)法.

稍後，通(tōng)過讀取 進程環境塊 (PEB) 訪問要解密的部分

惡意軟件實施的反分析機制(zhì)涉及執行(xíng)其惡意行(xíng)為(wèi)所需的 Win32 API 的動态加載。

負責加載所需 API 并将其映射到內(nèi)存的子程序隻能在惡意軟件的解密/解包版本上(shàng)進行(xíng)分析。解析 API 的方式在于調用子程序 ( sub_407C5C )，該子程序接收與密鑰 0x4506DFCA異或 的混淆字符串作(zuò)為(wèi)輸入 ，以便解密 要解析的Win32 API名稱。

分析還(hái)顯示了 Lockbit 3.0 勒索病毒和(hé) BlackMatter 樣本之間(jiān)相似的其他代碼部分，這表明(míng)實施這兩種勒索軟件的威脅組之間(jiān)可(kě)能存在相關性。

為(wèi)了阻礙分析，LockBit 3.0 勒索病毒還(hái)使用 了字符串混淆，這是通(tōng)過一個(gè)簡單的解密算(suàn)法 ( XOR ) 來(lái)解密字符串。關于 文件加密，勒索軟件采用多(duō)線程方式。文件使用AES加密，對于大(dà)文件，并非所有(yǒu)內(nèi)容都被加密，而隻是其中的一部分。

三、中了Lockbit3.0後綴勒索病毒文件怎麽恢複？

此後綴病毒文件由于加密算(suàn)法的原因，每台感染的電(diàn)腦(nǎo)服務器(qì)文件都不一樣，需要獨立檢測與分析加密文件的病毒特征與加密情況，才能确定最适合的恢複方案。

考慮到數(shù)據恢複需要的時(shí)間(jiān)、成本、風險等因素，建議如果數(shù)據不太重要，建議直接全盤掃描殺毒後全盤格式化重裝系統，後續做(zuò)好系統安全防護工作(zuò)即可(kě)。如果受感染的數(shù)據确實有(yǒu)恢複的價值與必要性，可(kě)關注“91數(shù)據恢複”進行(xíng)免費咨詢獲取數(shù)據恢複的相關幫助。

四、系統安全防護措施建議：

預防遠比救援重要，所以為(wèi)了避免出現此類事件，強烈建議大(dà)家(jiā)日常做(zuò)好以下防護措施：

①及時(shí)給辦公終端和(hé)服務器(qì)打補丁，修複漏洞，包括操作(zuò)系統以及第三方應用的補丁，防止攻擊者通(tōng)過漏洞入侵系統。

②盡量關閉不必要的端口，如139、445、3389等端口。如果不使用，可(kě)直接關閉高(gāo)危端口，降低(dī)被漏洞攻擊的風險。

③不對外提供服務的設備不要暴露于公網之上(shàng)，對外提供服務的系統，應保持較低(dī)權限。

④企業用戶應采用高(gāo)強度且無規律的密碼來(lái)登錄辦公系統或服務器(qì)，要求包括數(shù)字、大(dà)小(xiǎo)寫字母、符号，且長度至少(shǎo)為(wèi)8位的密碼，并定期更換口令。

⑤數(shù)據備份保護，對關鍵數(shù)據和(hé)業務系統做(zuò)備份，如離線備份，異地備份，雲備份等， 避免因為(wèi)數(shù)據丢失、被加密等造成業務停擺，甚至被迫向攻擊者妥協。

⑥敏感數(shù)據隔離，對敏感業務及其相關數(shù)據做(zuò)好網絡隔離。避免雙重勒索病毒在入侵後輕易竊取到敏感數(shù)據，對公司業務和(hé)機密信息造成重大(dà)威脅。

⑦盡量關閉不必要的文件共享。

⑧提高(gāo)安全運維人(rén)員職業素養，定期進行(xíng)木馬病毒查殺。

END