世界上最活跃的勒索病毒又一次升级变种出现

Lockbit Ransomware 团伙，也称为 Bitwise Spider，是流行的 Lockbit Ransomware-as-a-service 背后的网络犯罪策划者。他们是最活跃的勒索病毒团伙之一，通常每天有多个受害者，有时甚至更高。2022 年 3 月 16 日，他们开始在其暗网网站上不断宣布新的受害者，比任何勒索病毒组织都要快得多。

近日，91数据恢复团队接到一家公司的求助，这家公司的服务器都因中毒感染.lockbit3.0勒索病毒而导致公司业务停摆或停滞，.lockbit3.0勒索病毒今年突然升级变种传播，这个勒索病毒究竟是什么来头与变化？

如需恢复数据，可关注“91数据恢复”进行免费检测与咨询获取数据恢复的相关帮助。下面我们来了解看看这个._locked后缀勒索病毒。

一、什么是Lockbit 3.0勒索病毒？

LockBit 3.0（也称为 LockBit Black）是LockBit 勒索软件的新变种。它加密文件，修改文件名，更改桌面墙纸，并在桌面上放置一个文本文件（名为“ [random_string].README.txt ”）。LockBit 3.0 将文件名及其扩展名替换为随机动态和静态字符串。

LockBit 3.0 如何重命名文件的示例：它将“ 1.jpg ”替换为“ CDtU3Eq.HLJkNskOq ”，将“ 2.png ”替换为“ PLikeDC.HLJkNskOq ”，将“ 3.exe ”替换为“ qwYkH3L.HLJkNskOq ”，等等。

他们于 2019 年 9 月作为 ABCD 勒索病毒开始 运营，然后更名为 Lockbit。他们已更名，并于 2021 年 6 月推出了更好的勒索软件 Lockbit 2.0。我们已经看到，Lockbit 2.0 勒索软件引入了卷影复制和日志文件删除等新功能，使受害者更难恢复。此外，Lockbit 在最流行的勒索软件团伙中拥有最快的加密速度，在一分钟内加密了大约 25,000 个文件。

该病毒团伙起源于俄L斯。根据对 Lockbit 2.0的详细分析，勒索软件会检查默认系统语言并避免加密，如果受害系统的语言是俄语或邻近国家之一的语言，则会停止攻击。

       LockBit 3.0 赎金票据概述

赎金说明指出数据被盗并加密。如果受害者不支付赎金，数据将发布在暗网。它指示使用提供的网站和个人 ID 联系攻击者。此外，赎金记录警告说，删除或修改加密文件将导致解密问题。

LockBit 3.0 还引入了漏洞赏金计划
随着 LockBit 3.0 的发布，该行动引入了勒索软件团伙提供的第一个漏洞赏金计划，要求安全研究人员提交漏洞报告以换取 1,000 至 100 万美元的奖励。
“我们邀请地球上所有的安全研究人员、道德和不道德的黑客参与我们的漏洞赏金计划。报酬金额从 1000 美元到 100 万美元不等，”LockBit 3.0 漏洞赏金页面写道。

二、Lockbit3.0勒索病毒攻击的分析：

新版本的 LockBit（Lockbit 3.0 或 LockBitBlack）使用了一种代码保护机制，即二进制文件中存在加密代码部分，从而阻碍恶意软件检测，尤其是在通过自动分析执行时。

要激活恶意软件的正确执行， 必须在启动恶意文件时提供 解密密钥作为参数 ( -pass )，如果没有此密钥，其行为只会在执行开始时导致软件崩溃。用于分析样本的解密密钥报告如下：

db66023ab2abcb9957fb01ed50cdfa6a

当程序启动时，要调用的第一个子例程 ( sub_41B000 ) 负责执行二进制部分的解密，方法是从执行参数中检索解密密钥并将其传递给 RC4 密钥调度算法 (KSA) 算法.

稍后，通过读取 进程环境块 (PEB) 访问要解密的部分

恶意软件实施的反分析机制涉及执行其恶意行为所需的 Win32 API 的动态加载。

负责加载所需 API 并将其映射到内存的子程序只能在恶意软件的解密/解包版本上进行分析。解析 API 的方式在于调用子程序 ( sub_407C5C )，该子程序接收与密钥 0x4506DFCA异或 的混淆字符串作为输入 ，以便解密 要解析的Win32 API名称。

分析还显示了 Lockbit 3.0 勒索病毒和 BlackMatter 样本之间相似的其他代码部分，这表明实施这两种勒索软件的威胁组之间可能存在相关性。

为了阻碍分析，LockBit 3.0 勒索病毒还使用 了字符串混淆，这是通过一个简单的解密算法 ( XOR ) 来解密字符串。关于 文件加密，勒索软件采用多线程方式。文件使用AES加密，对于大文件，并非所有内容都被加密，而只是其中的一部分。

三、中了Lockbit3.0后缀勒索病毒文件怎么恢复？

此后缀病毒文件由于加密算法的原因，每台感染的电脑服务器文件都不一样，需要独立检测与分析加密文件的病毒特征与加密情况，才能确定最适合的恢复方案。

考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性，可关注“91数据恢复”进行免费咨询获取数据恢复的相关帮助。

四、系统安全防护措施建议：

预防远比救援重要，所以为了避免出现此类事件，强烈建议大家日常做好以下防护措施：

①及时给办公终端和服务器打补丁，修复漏洞，包括操作系统以及第三方应用的补丁，防止攻击者通过漏洞入侵系统。

②尽量关闭不必要的端口，如139、445、3389等端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险。

③不对外提供服务的设备不要暴露于公网之上，对外提供服务的系统，应保持较低权限。

④企业用户应采用高强度且无规律的密码来登录办公系统或服务器，要求包括数字、大小写字母、符号，且长度至少为8位的密码，并定期更换口令。

⑤数据备份保护，对关键数据和业务系统做备份，如离线备份，异地备份，云备份等， 避免因为数据丢失、被加密等造成业务停摆，甚至被迫向攻击者妥协。

⑥敏感数据隔离，对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据，对公司业务和机密信息造成重大威胁。

⑦尽量关闭不必要的文件共享。

⑧提高安全运维人员职业素养，定期进行木马病毒查杀。

文章来源：安全圈