用心将技术和服务遍布全中国
一切都是为了价值无法衡量的数据!



Lockbit 3.0勒索病毒:世界上最活跃的勒索病毒的又一次升级变种

2022-07-10 23:51:29 2867 编辑:91数据恢复专家 来源:本站原创
WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
 

前言:简介

        Lockbit Ransomware 团伙,也称为 Bitwise Spider,是流行的 Lockbit Ransomware-as-a-service 背后的网络犯罪策划者。他们是最活跃的勒索病毒团伙之一,通常每天有多个受害者,有时甚至更高。2022 年 3 月 16 日,他们开始在其暗网网站上不断宣布新的受害者,比任何勒索病毒组织都要快得多。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

        近日,91数据恢复团队接到一家公司的求助,这家公司的服务器都因中毒感染.lockbit3.0勒索病毒而导致公司业务停摆或停滞,.lockbit3.0勒索病毒今年突然升级变种传播,这个勒索病毒究竟是什么来头与变化?WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

        如需恢复数据,可添加我们的数据恢复服务号(sjhf91)进行免费检测与咨询获取数据恢复的相关帮助。下面我们来了解看看这个._locked后缀勒索病毒。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

一、什么是Lockbit 3.0勒索病毒?

        LockBit 3.0(也称为 LockBit Black)是LockBit 勒索软件的新变种。它加密文件,修改文件名,更改桌面墙纸,并在桌面上放置一个文本文件(名为“ [random_string].README.txt ”)。LockBit 3.0 将文件名及其扩展名替换为随机动态和静态字符串。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

        LockBit 3.0 如何重命名文件的示例:它将“ 1.jpg ”替换为“ CDtU3Eq.HLJkNskOq ”,将“ 2.png ”替换为“ PLikeDC.HLJkNskOq ”,将“ 3.exe ”替换为“ qwYkH3L.HLJkNskOq ”,等等.WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

       他们于 2019 年 9 月作为 ABCD 勒索病毒开始 运营,然后更名为 Lockbit。他们已更名,并于 2021 年 6 月推出了更好的勒索软件 Lockbit 2.0。我们已经看到,Lockbit 2.0 勒索软件引入了卷影复制和日志文件删除等新功能,使受害者更难恢复。此外,Lockbit 在最流行的勒索软件团伙中拥有最快的加密速度,在一分钟内加密了大约 25,000 个文件。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

       该病毒团伙起源于俄L斯。根据对  Lockbit 2.0的详细分析,勒索软件会检查默认系统语言并避免加密,如果受害系统的语言是俄语或邻近国家之一的语言,则会停止攻击。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

 WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

LockBit 3.0 赎金票据概述WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

        赎金说明指出数据被盗并加密。如果受害者不支付赎金,数据将发布在暗网。它指示使用提供的网站和个人 ID 联系攻击者。此外,赎金记录警告说,删除或修改加密文件将导致解密问题。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

 WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
LockBit 3.0 还引入了漏洞赏金计划WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
        随着 LockBit 3.0 的发布,该行动引入了勒索软件团伙提供的第一个漏洞赏金计划,要求安全研究人员提交漏洞报告以换取 1,000 至 100 万美元的奖励。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D
        “我们邀请地球上所有的安全研究人员、道德和不道德的黑客参与我们的漏洞赏金计划。报酬金额从 1000 美元到 100 万美元不等,”LockBit 3.0 漏洞赏金页面写道。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

二、Lockbit3.0勒索病毒攻击的分析:

新版本的 LockBit(Lockbit 3.0 或 LockBitBlack)使用了一种代码保护机制,即二进制文件中存在加密代码部分,从而阻碍恶意软件检测,尤其是在通过自动分析执行时。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

要激活恶意软件的正确执行,  必须在启动恶意文件时提供 解密密钥作为参数 ( -pass ),如果没有此密钥,其行为只会在执行开始时导致软件崩溃。用于分析样本的解密密钥报告如下:WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

db66023ab2abcb9957fb01ed50cdfa6aWIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

当程序启动时,要调用的第一个子例程 ( sub_41B000 ) 负责执行二进制部分的解密,方法是从执行参数中检索解密密钥并将其传递给 RC4 密钥调度算法 (KSA) 算法.WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

稍后,通过读取 进程环境块 (PEB) 访问要解密的部分WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

恶意软件实施的反分析机制涉及执行其恶意行为所需的 Win32 API 的动态加载。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

负责加载所需 API 并将其映射到内存的子程序只能在恶意软件的解密/解包版本上进行分析。解析 API 的方式在于调用子程序 ( sub_407C5C ),该子程序接收与密钥 0x4506DFCA异或 的混淆字符串作为输入 ,以便解密  要解析的Win32 API名称。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

分析还显示了 Lockbit 3.0 勒索病毒和 BlackMatter 样本之间相似的其他代码部分,这表明实施这两种勒索软件的威胁组之间可能存在相关性。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

为了阻碍分析,LockBit 3.0 勒索病毒还使用 了字符串混淆,这是通过一个简单的解密算法 ( XOR ) 来解密字符串。关于 文件加密,勒索软件采用多线程方式。文件使用AES加密,对于大文件,并非所有内容都被加密,而只是其中的一部分。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

三、中了Lockbit3.0后缀勒索病毒文件怎么恢复?

        此后缀病毒文件由于加密算法的原因,每台感染的电脑服务器文件都不一样,需要独立检测与分析加密文件的病毒特征与加密情况,才能确定最适合的恢复方案。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

        考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,可添加我们的技术服务号(sjhf91)进行免费咨询获取数据恢复的相关帮助。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

四、系统安全防护措施建议:

预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

⑦ 尽量关闭不必要的文件共享。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。WIM91数据恢复-勒索病毒数据恢复专家,rmallox/baxia/bixi/hma11ox/wstop/mkp/SRC/D

本站文章均为91数据恢复专业数据团队根据公司业务案例,数据恢复工作中整理发表,部分内容摘自权威资料,书籍,或网络原创文章,如有版权纠纷或者违规问题,请即刻联系我们删除,我们欢迎您分享,引用和转载,我们谢绝直接复制和抄袭,感谢!

联络方式:

客服热线:400-1050-918

技术顾问:133-188-44580 166-6622-5144

邮箱:91huifu@91huifu.com

微信公众号
售前工程师1
售前工程师2