【安全圈】世界上(shàng)最活躍的(de)勒索病毒又(yòu)一次升級變種出現(xiàn)

關鍵詞：勒索病毒

Lockbit Ransomware 團夥，也稱為(wèi) Bitwise Spider，是流行的(de) Lockbit Ransomware-as-a-service 背後的(de)網絡犯罪策劃者。他(tā)們是最活躍的(de)勒索病毒團夥之一，通(tōng)常每天有(yǒu)多個(gè)受害者，有(yǒu)時(shí)甚至更高(gāo)。2022 年(nián) 3 月(yuè) 16 日(rì)，他(tā)們開(kāi)始在其暗(àn)網網站上(shàng)不斷宣布新的(de)受害者，比任何勒索病毒組織都(dōu)要快得多。

近(jìn)日(rì)，91數據恢複團隊接到一家(jiā)公司的(de)求助，這(zhè)家(jiā)公司的(de)服務器(qì)都(dōu)因中毒感染.lockbit3.0勒索病毒而導緻公司業(yè)務停擺或停滞，.lockbit3.0勒索病毒今年(nián)突然升級變種傳播，這(zhè)個(gè)勒索病毒究竟是什麽來(lái)頭與變化(huà)？

如需恢複數據，可關注“91數據恢複”進行免費(fèi)檢測與咨詢獲取數據恢複的(de)相(xiàng)關幫助。下(xià)面我們來(lái)了解看(kàn)看(kàn)這(zhè)個(gè)._locked後綴勒索病毒。

一、什麽是Lockbit 3.0勒索病毒？

LockBit 3.0（也稱為(wèi) LockBit Black）是LockBit 勒索軟件(jiàn)的(de)新變種。它加密文(wén)件(jiàn)，修改文(wén)件(jiàn)名，更改桌面牆紙，并在桌面上(shàng)放(fàng)置一個(gè)文(wén)本文(wén)件(jiàn)（名為(wèi)“ [random_string].README.txt ”）。LockBit 3.0 将文(wén)件(jiàn)名及其擴展名替換為(wèi)随機(jī)動态和(hé)靜态字符串。

LockBit 3.0 如何重命名文(wén)件(jiàn)的(de)示例：它将“ 1.jpg ”替換為(wèi)“ CDtU3Eq.HLJkNskOq ”，将“ 2.png ”替換為(wèi)“ PLikeDC.HLJkNskOq ”，将“ 3.exe ”替換為(wèi)“ qwYkH3L.HLJkNskOq ”，等等。

他(tā)們于 2019 年(nián) 9 月(yuè)作(zuò)為(wèi) ABCD 勒索病毒開(kāi)始 運營，然後更名為(wèi) Lockbit。他(tā)們已更名，并于 2021 年(nián) 6 月(yuè)推出了更好(hǎo)的(de)勒索軟件(jiàn) Lockbit 2.0。我們已經看(kàn)到，Lockbit 2.0 勒索軟件(jiàn)引入了卷影複制和(hé)日(rì)志(zhì)文(wén)件(jiàn)删除等新功能，使受害者更難恢複。此外(wài)，Lockbit 在最流行的(de)勒索軟件(jiàn)團夥中擁有(yǒu)最快的(de)加密速度，在一分鐘(zhōng)內(nèi)加密了大約 25,000 個(gè)文(wén)件(jiàn)。

該病毒團夥起源于俄L斯。根據對(duì) Lockbit 2.0的(de)詳細分析，勒索軟件(jiàn)會檢查默認系統語言并避免加密，如果受害系統的(de)語言是俄語或鄰近(jìn)國(guó)家(jiā)之一的(de)語言，則會停止攻擊。

       LockBit 3.0 贖金(jīn)票(piào)據概述

贖金(jīn)說(shuō)明(míng)指出數據被盜并加密。如果受害者不支付贖金(jīn)，數據将發布在暗(àn)網。它指示使用提供的(de)網站和(hé)個(gè)人(rén) ID 聯系攻擊者。此外(wài)，贖金(jīn)記錄警告說(shuō)，删除或修改加密文(wén)件(jiàn)将導緻解密問(wèn)題。

LockBit 3.0 還(hái)引入了漏洞賞金(jīn)計(jì)劃
随着 LockBit 3.0 的(de)發布，該行動引入了勒索軟件(jiàn)團夥提供的(de)第一個(gè)漏洞賞金(jīn)計(jì)劃，要求安全研究人(rén)員(yuán)提交漏洞報告以換取 1,000 至 100 萬美(měi)元的(de)獎勵。
“我們邀請地(dì)球上(shàng)所有(yǒu)的(de)安全研究人(rén)員(yuán)、道(dào)德和(hé)不道(dào)德的(de)黑(hēi)客參與我們的(de)漏洞賞金(jīn)計(jì)劃。報酬金(jīn)額從(cóng) 1000 美(měi)元到 100 萬美(měi)元不等，”LockBit 3.0 漏洞賞金(jīn)頁面寫道(dào)。

二、Lockbit3.0勒索病毒攻擊的(de)分析：

新版本的(de) LockBit（Lockbit 3.0 或 LockBitBlack）使用了一種代碼保護機(jī)制，即二進制文(wén)件(jiàn)中存在加密代碼部分，從(cóng)而阻礙惡意軟件(jiàn)檢測，尤其是在通(tōng)過自(zì)動分析執行時(shí)。

要激活惡意軟件(jiàn)的(de)正确執行， 必須在啓動惡意文(wén)件(jiàn)時(shí)提供 解密密鑰作(zuò)為(wèi)參數 ( -pass )，如果沒有(yǒu)此密鑰，其行為(wèi)隻會在執行開(kāi)始時(shí)導緻軟件(jiàn)崩潰。用于分析樣本的(de)解密密鑰報告如下(xià)：

db66023ab2abcb9957fb01ed50cdfa6a

當程序啓動時(shí)，要調用的(de)第一個(gè)子(zǐ)例程 ( sub_41B000 ) 負責執行二進制部分的(de)解密，方法是從(cóng)執行參數中檢索解密密鑰并将其傳遞給 RC4 密鑰調度算(suàn)法 (KSA) 算(suàn)法.

稍後，通(tōng)過讀取 進程環境塊 (PEB) 訪問(wèn)要解密的(de)部分

惡意軟件(jiàn)實施的(de)反分析機(jī)制涉及執行其惡意行為(wèi)所需的(de) Win32 API 的(de)動态加載。

負責加載所需 API 并将其映射到內(nèi)存的(de)子(zǐ)程序隻能在惡意軟件(jiàn)的(de)解密/解包版本上(shàng)進行分析。解析 API 的(de)方式在于調用子(zǐ)程序 ( sub_407C5C )，該子(zǐ)程序接收與密鑰 0x4506DFCA異或 的(de)混淆字符串作(zuò)為(wèi)輸入 ，以便解密 要解析的(de)Win32 API名稱。

分析還(hái)顯示了 Lockbit 3.0 勒索病毒和(hé) BlackMatter 樣本之間(jiān)相(xiàng)似的(de)其他(tā)代碼部分，這(zhè)表明(míng)實施這(zhè)兩種勒索軟件(jiàn)的(de)威脅組之間(jiān)可能存在相(xiàng)關性。

為(wèi)了阻礙分析，LockBit 3.0 勒索病毒還(hái)使用 了字符串混淆，這(zhè)是通(tōng)過一個(gè)簡單的(de)解密算(suàn)法 ( XOR ) 來(lái)解密字符串。關于 文(wén)件(jiàn)加密，勒索軟件(jiàn)采用多線程方式。文(wén)件(jiàn)使用AES加密，對(duì)于大文(wén)件(jiàn)，并非所有(yǒu)內(nèi)容都(dōu)被加密，而隻是其中的(de)一部分。

三、中了Lockbit3.0後綴勒索病毒文(wén)件(jiàn)怎麽恢複？

此後綴病毒文(wén)件(jiàn)由于加密算(suàn)法的(de)原因，每台感染的(de)電(diàn)腦服務器(qì)文(wén)件(jiàn)都(dōu)不一樣，需要獨立檢測與分析加密文(wén)件(jiàn)的(de)病毒特征與加密情況，才能确定最适合的(de)恢複方案。

考慮到數據恢複需要的(de)時(shí)間(jiān)、成本、風(fēng)險等因素，建議(yì)如果數據不太重要，建議(yì)直接全盤掃描殺毒後全盤格式化(huà)重裝系統，後續做好(hǎo)系統安全防護工(gōng)作(zuò)即可。如果受感染的(de)數據确實有(yǒu)恢複的(de)價值與必要性，可關注“91數據恢複”進行免費(fèi)咨詢獲取數據恢複的(de)相(xiàng)關幫助。

四、系統安全防護措施建議(yì)：

預防遠(yuǎn)比救援重要，所以為(wèi)了避免出現(xiàn)此類事(shì)件(jiàn)，強烈建議(yì)大家(jiā)日(rì)常做好(hǎo)以下(xià)防護措施：

①及時(shí)給辦公終端和(hé)服務器(qì)打補丁，修複漏洞，包括操作(zuò)系統以及第三方應用的(de)補丁，防止攻擊者通(tōng)過漏洞入侵系統。

②盡量關閉不必要的(de)端口，如139、445、3389等端口。如果不使用，可直接關閉高(gāo)危端口，降低(dī)被漏洞攻擊的(de)風(fēng)險。

③不對(duì)外(wài)提供服務的(de)設備不要暴露于公網之上(shàng)，對(duì)外(wài)提供服務的(de)系統，應保持較低(dī)權限。

④企業(yè)用戶應采用高(gāo)強度且無規律的(de)密碼來(lái)登錄辦公系統或服務器(qì)，要求包括數字、大小(xiǎo)寫字母、符号，且長(cháng)度至少為(wèi)8位的(de)密碼，并定期更換口令。

⑤數據備份保護，對(duì)關鍵數據和(hé)業(yè)務系統做備份，如離線備份，異地(dì)備份，雲備份等， 避免因為(wèi)數據丢失、被加密等造成業(yè)務停擺，甚至被迫向攻擊者妥協。

⑥敏感數據隔離，對(duì)敏感業(yè)務及其相(xiàng)關數據做好(hǎo)網絡隔離。避免雙重勒索病毒在入侵後輕易竊取到敏感數據，對(duì)公司業(yè)務和(hé)機(jī)密信息造成重大威脅。

⑦盡量關閉不必要的(de)文(wén)件(jiàn)共享。

⑧提高(gāo)安全運維人(rén)員(yuán)職業(yè)素養，定期進行木馬病毒查殺。

END