世界上最活跃的勒索病毒又一次升级变种出现

admin 2022年7月12日21:55:31安全新闻评论22 views2615字阅读8分43秒阅读模式

世界上最活跃的勒索病毒又一次升级变种出现

世界上最活跃的勒索病毒又一次升级变种出现


Lockbit Ransomware 团伙,也称为 Bitwise Spider,是流行的 Lockbit Ransomware-as-a-service 背后的网络犯罪策划者。他们是最活跃的勒索病毒团伙之一,通常每天有多个受害者,有时甚至更高。2022 年 3 月 16 日,他们开始在其暗网网站上不断宣布新的受害者,比任何勒索病毒组织都要快得多。


近日,91数据恢复团队接到一家公司的求助,这家公司的服务器都因中毒感染.lockbit3.0勒索病毒而导致公司业务停摆或停滞,.lockbit3.0勒索病毒今年突然升级变种传播,这个勒索病毒究竟是什么来头与变化?


如需恢复数据,可关注“91数据恢复”进行免费检测与咨询获取数据恢复的相关帮助。下面我们来了解看看这个._locked后缀勒索病毒。


一、什么是Lockbit 3.0勒索病毒?

LockBit 3.0(也称为 LockBit Black)是LockBit 勒索软件的新变种。它加密文件,修改文件名,更改桌面墙纸,并在桌面上放置一个文本文件(名为“ [random_string].README.txt ”)。LockBit 3.0 将文件名及其扩展名替换为随机动态和静态字符串。


LockBit 3.0 如何重命名文件的示例:它将“ 1.jpg ”替换为“ CDtU3Eq.HLJkNskOq ”,将“ 2.png ”替换为“ PLikeDC.HLJkNskOq ”,将“ 3.exe ”替换为“ qwYkH3L.HLJkNskOq ”,等等。


他们于 2019 年 9 月作为 ABCD 勒索病毒开始 运营,然后更名为 Lockbit。他们已更名,并于 2021 年 6 月推出了更好的勒索软件 Lockbit 2.0。我们已经看到,Lockbit 2.0 勒索软件引入了卷影复制和日志文件删除等新功能,使受害者更难恢复。此外,Lockbit 在最流行的勒索软件团伙中拥有最快的加密速度,在一分钟内加密了大约 25,000 个文件。


该病毒团伙起源于俄L斯。根据对 Lockbit 2.0的详细分析,勒索软件会检查默认系统语言并避免加密,如果受害系统的语言是俄语或邻近国家之一的语言,则会停止攻击。


世界上最活跃的勒索病毒又一次升级变种出现


       LockBit 3.0 赎金票据概述

赎金说明指出数据被盗并加密。如果受害者不支付赎金,数据将发布在暗网。它指示使用提供的网站和个人 ID 联系攻击者。此外,赎金记录警告说,删除或修改加密文件将导致解密问题。


LockBit 3.0 还引入了漏洞赏金计划
随着 LockBit 3.0 的发布,该行动引入了勒索软件团伙提供的第一个漏洞赏金计划,要求安全研究人员提交漏洞报告以换取 1,000 至 100 万美元的奖励。
“我们邀请地球上所有的安全研究人员、道德和不道德的黑客参与我们的漏洞赏金计划。报酬金额从 1000 美元到 100 万美元不等,”LockBit 3.0 漏洞赏金页面写道。


二、Lockbit3.0勒索病毒攻击的分析:

新版本的 LockBit(Lockbit 3.0 或 LockBitBlack)使用了一种代码保护机制,即二进制文件中存在加密代码部分,从而阻碍恶意软件检测,尤其是在通过自动分析执行时。


要激活恶意软件的正确执行, 必须在启动恶意文件时提供 解密密钥作为参数 ( -pass ),如果没有此密钥,其行为只会在执行开始时导致软件崩溃。用于分析样本的解密密钥报告如下:


db66023ab2abcb9957fb01ed50cdfa6a

当程序启动时,要调用的第一个子例程 ( sub_41B000 ) 负责执行二进制部分的解密,方法是从执行参数中检索解密密钥并将其传递给 RC4 密钥调度算法 (KSA) 算法.


稍后,通过读取 进程环境块 (PEB) 访问要解密的部分


恶意软件实施的反分析机制涉及执行其恶意行为所需的 Win32 API 的动态加载。


负责加载所需 API 并将其映射到内存的子程序只能在恶意软件的解密/解包版本上进行分析。解析 API 的方式在于调用子程序 ( sub_407C5C ),该子程序接收与密钥 0x4506DFCA异或 的混淆字符串作为输入 ,以便解密 要解析的Win32 API名称。


分析还显示了 Lockbit 3.0 勒索病毒和 BlackMatter 样本之间相似的其他代码部分,这表明实施这两种勒索软件的威胁组之间可能存在相关性。

为了阻碍分析,LockBit 3.0 勒索病毒还使用 了字符串混淆,这是通过一个简单的解密算法 ( XOR ) 来解密字符串。关于 文件加密,勒索软件采用多线程方式。文件使用AES加密,对于大文件,并非所有内容都被加密,而只是其中的一部分。


三、中了Lockbit3.0后缀勒索病毒文件怎么恢复?

此后缀病毒文件由于加密算法的原因,每台感染的电脑服务器文件都不一样,需要独立检测与分析加密文件的病毒特征与加密情况,才能确定最适合的恢复方案。


考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,可关注“91数据恢复”进行免费咨询获取数据恢复的相关帮助。


四、系统安全防护措施建议:

预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:

①及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。

②尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。

③不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。

④企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。

⑤数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。

⑥敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。

⑦尽量关闭不必要的文件共享。

⑧提高安全运维人员职业素养,定期进行木马病毒查杀。

文章来源:安全圈


黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文


END

世界上最活跃的勒索病毒又一次升级变种出现

多一个点在看世界上最活跃的勒索病毒又一次升级变种出现多一条小鱼干


原文始发于微信公众号(黑白之道):世界上最活跃的勒索病毒又一次升级变种出现

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月12日21:55:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  世界上最活跃的勒索病毒又一次升级变种出现 https://cn-sec.com/archives/1172242.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: