【安全圈】世界上最活躍的勒索病毒又一次升級(jí)變種出現(xiàn)

關(guān)鍵詞：勒索病毒

Lockbit Ransomware 團(tuán)伙，也稱(chēng)為 Bitwise Spider，是流行的 Lockbit Ransomware-as-a-service 背后的網(wǎng)絡(luò)犯罪策劃者。他們是最活躍的勒索病毒團(tuán)伙之一，通常每天有多個(gè)受害者，有時(shí)甚至更高。2022 年 3 月 16 日，他們開(kāi)始在其暗網(wǎng)網(wǎng)站上不斷宣布新的受害者，比任何勒索病毒組織都要快得多。

近日，91數(shù)據(jù)恢復(fù)團(tuán)隊(duì)接到一家公司的求助，這家公司的服務(wù)器都因中毒感染.lockbit3.0勒索病毒而導(dǎo)致公司業(yè)務(wù)停擺或停滯，.lockbit3.0勒索病毒今年突然升級(jí)變種傳播，這個(gè)勒索病毒究竟是什么來(lái)頭與變化？

如需恢復(fù)數(shù)據(jù)，可關(guān)注“91數(shù)據(jù)恢復(fù)”進(jìn)行免費(fèi)檢測(cè)與咨詢(xún)獲取數(shù)據(jù)恢復(fù)的相關(guān)幫助。下面我們來(lái)了解看看這個(gè)._locked后綴勒索病毒。

一、什么是Lockbit 3.0勒索病毒？

LockBit 3.0（也稱(chēng)為 LockBit Black）是LockBit 勒索軟件的新變種。它加密文件，修改文件名，更改桌面墻紙，并在桌面上放置一個(gè)文本文件（名為“ [random_string].README.txt ”）。LockBit 3.0 將文件名及其擴(kuò)展名替換為隨機(jī)動(dòng)態(tài)和靜態(tài)字符串。

LockBit 3.0 如何重命名文件的示例：它將“ 1.jpg ”替換為“ CDtU3Eq.HLJkNskOq ”，將“ 2.png ”替換為“ PLikeDC.HLJkNskOq ”，將“ 3.exe ”替換為“ qwYkH3L.HLJkNskOq ”，等等。

他們于 2019 年 9 月作為 ABCD 勒索病毒開(kāi)始 運(yùn)營(yíng)，然后更名為 Lockbit。他們已更名，并于 2021 年 6 月推出了更好的勒索軟件 Lockbit 2.0。我們已經(jīng)看到，Lockbit 2.0 勒索軟件引入了卷影復(fù)制和日志文件刪除等新功能，使受害者更難恢復(fù)。此外，Lockbit 在最流行的勒索軟件團(tuán)伙中擁有最快的加密速度，在一分鐘內(nèi)加密了大約 25,000 個(gè)文件。

該病毒團(tuán)伙起源于俄L斯。根據(jù)對(duì) Lockbit 2.0的詳細(xì)分析，勒索軟件會(huì)檢查默認(rèn)系統(tǒng)語(yǔ)言并避免加密，如果受害系統(tǒng)的語(yǔ)言是俄語(yǔ)或鄰近國(guó)家之一的語(yǔ)言，則會(huì)停止攻擊。

       LockBit 3.0 贖金票據(jù)概述

贖金說(shuō)明指出數(shù)據(jù)被盜并加密。如果受害者不支付贖金，數(shù)據(jù)將發(fā)布在暗網(wǎng)。它指示使用提供的網(wǎng)站和個(gè)人 ID 聯(lián)系攻擊者。此外，贖金記錄警告說(shuō)，刪除或修改加密文件將導(dǎo)致解密問(wèn)題。

LockBit 3.0 還引入了漏洞賞金計(jì)劃
隨著 LockBit 3.0 的發(fā)布，該行動(dòng)引入了勒索軟件團(tuán)伙提供的第一個(gè)漏洞賞金計(jì)劃，要求安全研究人員提交漏洞報(bào)告以換取 1,000 至 100 萬(wàn)美元的獎(jiǎng)勵(lì)。
“我們邀請(qǐng)地球上所有的安全研究人員、道德和不道德的黑客參與我們的漏洞賞金計(jì)劃。報(bào)酬金額從 1000 美元到 100 萬(wàn)美元不等，”LockBit 3.0 漏洞賞金頁(yè)面寫(xiě)道。

二、Lockbit3.0勒索病毒攻擊的分析：

新版本的 LockBit（Lockbit 3.0 或 LockBitBlack）使用了一種代碼保護(hù)機(jī)制，即二進(jìn)制文件中存在加密代碼部分，從而阻礙惡意軟件檢測(cè)，尤其是在通過(guò)自動(dòng)分析執(zhí)行時(shí)。

要激活?lèi)阂廛浖恼_執(zhí)行， 必須在啟動(dòng)惡意文件時(shí)提供 解密密鑰作為參數(shù) ( -pass )，如果沒(méi)有此密鑰，其行為只會(huì)在執(zhí)行開(kāi)始時(shí)導(dǎo)致軟件崩潰。用于分析樣本的解密密鑰報(bào)告如下：

db66023ab2abcb9957fb01ed50cdfa6a

當(dāng)程序啟動(dòng)時(shí)，要調(diào)用的第一個(gè)子例程 ( sub_41B000 ) 負(fù)責(zé)執(zhí)行二進(jìn)制部分的解密，方法是從執(zhí)行參數(shù)中檢索解密密鑰并將其傳遞給 RC4 密鑰調(diào)度算法 (KSA) 算法.

稍后，通過(guò)讀取 進(jìn)程環(huán)境塊 (PEB) 訪(fǎng)問(wèn)要解密的部分

惡意軟件實(shí)施的反分析機(jī)制涉及執(zhí)行其惡意行為所需的 Win32 API 的動(dòng)態(tài)加載。

負(fù)責(zé)加載所需 API 并將其映射到內(nèi)存的子程序只能在惡意軟件的解密/解包版本上進(jìn)行分析。解析 API 的方式在于調(diào)用子程序 ( sub_407C5C )，該子程序接收與密鑰 0x4506DFCA異或 的混淆字符串作為輸入 ，以便解密 要解析的Win32 API名稱(chēng)。

分析還顯示了 Lockbit 3.0 勒索病毒和 BlackMatter 樣本之間相似的其他代碼部分，這表明實(shí)施這兩種勒索軟件的威脅組之間可能存在相關(guān)性。

為了阻礙分析，LockBit 3.0 勒索病毒還使用 了字符串混淆，這是通過(guò)一個(gè)簡(jiǎn)單的解密算法 ( XOR ) 來(lái)解密字符串。關(guān)于 文件加密，勒索軟件采用多線(xiàn)程方式。文件使用AES加密，對(duì)于大文件，并非所有內(nèi)容都被加密，而只是其中的一部分。

三、中了Lockbit3.0后綴勒索病毒文件怎么恢復(fù)？

此后綴病毒文件由于加密算法的原因，每臺(tái)感染的電腦服務(wù)器文件都不一樣，需要獨(dú)立檢測(cè)與分析加密文件的病毒特征與加密情況，才能確定最適合的恢復(fù)方案。

考慮到數(shù)據(jù)恢復(fù)需要的時(shí)間、成本、風(fēng)險(xiǎn)等因素，建議如果數(shù)據(jù)不太重要，建議直接全盤(pán)掃描殺毒后全盤(pán)格式化重裝系統(tǒng)，后續(xù)做好系統(tǒng)安全防護(hù)工作即可。如果受感染的數(shù)據(jù)確實(shí)有恢復(fù)的價(jià)值與必要性，可關(guān)注“91數(shù)據(jù)恢復(fù)”進(jìn)行免費(fèi)咨詢(xún)獲取數(shù)據(jù)恢復(fù)的相關(guān)幫助。

四、系統(tǒng)安全防護(hù)措施建議：

預(yù)防遠(yuǎn)比救援重要，所以為了避免出現(xiàn)此類(lèi)事件，強(qiáng)烈建議大家日常做好以下防護(hù)措施：

①及時(shí)給辦公終端和服務(wù)器打補(bǔ)丁，修復(fù)漏洞，包括操作系統(tǒng)以及第三方應(yīng)用的補(bǔ)丁，防止攻擊者通過(guò)漏洞入侵系統(tǒng)。

②盡量關(guān)閉不必要的端口，如139、445、3389等端口。如果不使用，可直接關(guān)閉高危端口，降低被漏洞攻擊的風(fēng)險(xiǎn)。

③不對(duì)外提供服務(wù)的設(shè)備不要暴露于公網(wǎng)之上，對(duì)外提供服務(wù)的系統(tǒng)，應(yīng)保持較低權(quán)限。

④企業(yè)用戶(hù)應(yīng)采用高強(qiáng)度且無(wú)規(guī)律的密碼來(lái)登錄辦公系統(tǒng)或服務(wù)器，要求包括數(shù)字、大小寫(xiě)字母、符號(hào)，且長(zhǎng)度至少為8位的密碼，并定期更換口令。

⑤數(shù)據(jù)備份保護(hù)，對(duì)關(guān)鍵數(shù)據(jù)和業(yè)務(wù)系統(tǒng)做備份，如離線(xiàn)備份，異地備份，云備份等， 避免因?yàn)閿?shù)據(jù)丟失、被加密等造成業(yè)務(wù)停擺，甚至被迫向攻擊者妥協(xié)。

⑥敏感數(shù)據(jù)隔離，對(duì)敏感業(yè)務(wù)及其相關(guān)數(shù)據(jù)做好網(wǎng)絡(luò)隔離。避免雙重勒索病毒在入侵后輕易竊取到敏感數(shù)據(jù)，對(duì)公司業(yè)務(wù)和機(jī)密信息造成重大威脅。

⑦盡量關(guān)閉不必要的文件共享。

⑧提高安全運(yùn)維人員職業(yè)素養(yǎng)，定期進(jìn)行木馬病毒查殺。

END