[[416642]]

背景概述

Lockbit勒索病毒最初于2019年9月被發(fā)現(xiàn)，當時稱之為“ABCD病毒”，該別名是參考了當時被加密文件的后綴。利用此勒索病毒進行攻擊的黑客團伙以針對企業(yè)及政府組織而出名，主要目標為中國，印度，印度尼西亞，烏克蘭;對英國，法國，德國等歐洲國家也有過數(shù)次攻擊。

Lockbit勒索病毒主要會將終端文件進行加密并將后綴修改為.lockbit，生成Restore-My-Files.txt的勒索信息，并修改桌面背景，這個勒索病毒家族目前沒有公開的解密工具，用戶一旦中招只能提交大量的贖金才可以解密。

主要特征

Lockbit的特征主要是以下幾點：

(1) 獨特的解密記號：在LockBit的勒索信中Tor URL的16字節(jié)分別對應了每個加密文件后的字節(jié)以及公共注冊表項的前8個字節(jié)，從而可以讓該團伙在解密的過程中，更容易定位及匹配密鑰信息。

(2) 存在不加害對象列表：LockBit似乎對部分國家存在“善心”，病毒文件會獲取本機系統(tǒng)語言信息，遇到以下列表的國家或系統(tǒng)語言則不會進行勒索加密。

排除國家和語言列表

(3) 獨有的桌面壁紙：LockBit除了和其他勒索病毒家族一樣留下勒索信之外，還會修改當前的桌面背景，它將獨有的桌面背景圖片儲存在路徑Appdata\Local\Temp下，修改注冊表wallpaper項將其設置為桌面背景。

樣本分析

LockBit勒索病毒大量使用了英特爾的SSE指令集和特定于體系結(jié)構(gòu)的功能，以提高其性能，并將這些字符串變量通過異或進行解密;

解密前：

解密后：

LockBit使用互斥信號量來防止多個勒索病毒在該系統(tǒng)上運行;

修改注冊表SOFTWARE\Microsoft\Windows\CurrentVersion\Run讓惡意的軟件隨著開機啟動;

LockBit含有包含多個防病毒軟件的服務列表，一旦檢測到相關的防病毒軟件服務則進行干預并停止防病毒軟件，以避免自身被查殺;

相關的防病毒軟件服務列表為：

wrapper, DefWatch, ccEvtMgr, ccSetMgr, SavRoam, Sqlservr, sqlagent, sqladhlp, Culserver, RTVscan, sqlbrowser, SQLADHLP, QBIDService, Intuit.QuickBooks.FCS, QBCFMonitorService, sqlwriter, msmdsrv, tomcat6, zhudongfangyu, vmware-usbarbitator64, vmware-converter, dbsrv12, dbeng8, MSSQL$MICROSOFT##WID, MSSQL$VEEAMSQL2012, SQLAgent$VEEAMSQL2012, SQLBrowser, SQLWriter, FishbowlMySQL, MySQL57, MSSQL$KAVCSADMINKIT, MSSQLServerADHelper100, SQLAgent$KAVCSADMINKIT, msftesql-Exchange, MSSQL$MICROSOFT##SSEE, MSSQL$SBSMONITORING, MSSQL$SHAREPOINT, MSSQLFDLauncher$SBSMONITORING, MSSQLFDLauncher$SHAREPOINT, SQLAgent$SBSMONITORING, SQLAgent$SHAREPOINT, QBFCService, QBVSS, YooBackup, YooIT, vss, sql, svc$, MSSQL, MSSQL$, memtas, mepocs, sophos, veeam, backup, bedbg, PDVF$Service, BackupExecVSSProvider, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, MVArmor, MVarmor64, stcrawagent, VSNAPVSS, VeeamTransportSvc, VeeamDeploymentService, VeeamNFSSvc, AcronisAgent, ARSM, AcrSch2Svc, CASAD2DWebSvc, WSBExchange, MSExchange

在確保“自身安全”后，LockBit將會獲取主機中的文件后綴進行比對并加密;

加密文件后綴列表：

.386, .cmd, .exe, .ani, .adv, .theme, .msi, .msp, .com, .diagpkg, .nls, .diagcab, .lock, .ocx, .mpa, .cpl, .mod, .hta, .icns, .prf, .rtp, .diagcfg, .msstyles, .bin, .hlp, .shs, .drv, .wpx, .bat, .rom, .msc, .spl, .ps1, .msu, .ics, .key, .mp3, .reg, .dll, .ini, .idx, .sys, .ico, .Lnk, .rdp

為了防止加密某些系統(tǒng)文件導致操作系統(tǒng)異常，LockBit“很貼心”地將一些特定的系統(tǒng)文件排除到加密范圍，使得用戶可以正常打開系統(tǒng);

不加密文件列表：

$windows.~bt, intel, msocache, $recycle.bin, $windows.~ws, tor browser, boot, system volume information, perflogs, google, appliction data, windows, windows.old, appdata

加密過程

遍歷主機中的文件夾與文件;

遍歷結(jié)束后，加密文件并將.lockbit加到后綴名;

生成RSA的公鑰 ;

完成了加密會話后，RSA的完整加密會話的公鑰會存儲在注冊表的full與public中(模數(shù)和指數(shù)，分別為 0x100 和 0x3 字節(jié))。

使用AES算法加密

為了可以加密更多的主機，LockBit在加密后會通過枚舉驅(qū)動號，來確定是否為網(wǎng)絡共享的盤;

獲取名稱后，會調(diào)用共享的所有文件夾和文件，從而加密更多的文件，達到不可挽回的后果。

通過異或來解密出勒索文件信息內(nèi)容，文件內(nèi)容如下：

加固建議

(1) 日常生活工作中的重要的數(shù)據(jù)文件資料設置相應的訪問權(quán)限，關閉不必要的文件共享功能并且定期進行非本地備份;

(2) 使用高強度的主機密碼，并避免多臺設備使用相同密碼，不要對外網(wǎng)直接映射3389等端口，防止暴力破解;

(3) 避免打開來歷不明的郵件、鏈接和網(wǎng)址附件等，盡量不要在非官方渠道下載非正版的應用軟件，發(fā)現(xiàn)文件類型與圖標不相符時應先使用安全軟件對文件進行查殺;

(4) 定期檢測系統(tǒng)漏洞并且及時進行補丁修復。