背景概述Lockbit勒索病毒于2019年9月首次被发现,当时被称为“ABCD病毒”。这个别名是指加密文件当时的后缀。使用此勒索软件进行攻击的黑客组织以针对企业和政府组织而闻名。主要目标是中国、印度、印度尼西亚和乌克兰;英国、法国、德国等欧洲国家也发生过数起攻击事件。Lockbit勒索病毒主要对终端文件进行加密并修改后缀为.lockbit,生成Restore-My-Files.txt勒索信息,修改桌面背景。该勒索软件家族目前没有公开的解密工具。用户一旦上当只能通过提交大量赎金才能解密。主要特点Lockbit的主要特点有以下几点:(1)独特的解密标记:在LockBit勒索信中,TorURL的16个字节分别对应每个加密文件后的字节和注册表公钥的前8个字节字节,这使得该团伙在解密过程中更容易定位和匹配密钥信息。(2)有一个无害对象列表:LockBit似乎对一些国家有“善意”。病毒文件会获取当地的系统语言信息,遇到下面列出的国家或系统语言时不会进行勒索加密。被排除的国家和语言列表(3)独特的桌面壁纸:除了像其他勒索软件家族一样留下勒索信外,LockBit还会修改当前的桌面背景,并将独特的桌面背景图片存储在路径Appdata\Local\Temp,修改注册表壁纸项设置为桌面背景。样本分析LockBit勒索病毒大量使用Intel的SSE指令集和架构特有的特性来提升性能,通过XOR对这些字符串变量进行解密;解密前:解密后:LockBit使用互斥信号量来防止多个勒索软件在系统上运行;修改注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run,让恶意软件随开机启动;LockBit包含一个包含多个杀毒软件的服务列表,一旦相关杀毒软件服务介入并停止杀毒软件,避免自身被查杀;相关杀毒软件服务列表为:wrapper、DefWatch、ccEvtMgr、ccSetMgr、SavRoam、Sqlservr、sqlagent、sqladhlp、Culserver、RTVscan、sqlbrowser、SQLADHLP、QBIDService、Intuit.QuickBooks.FCS、QBCFMonitorService、sqlwriter、msmdsrv、tomcat6,zhudongfangyu,vmware-usbarbitator64,vmware-converter,dbsrv12,dbeng8,MSSQL$MICROSOFT##WID,MSSQL$VEEAMSQL2012,SQLBrowser2,SQLAgent2VEEAMSQLSQLWriter,FishbowlMySQL,MySQL57,MSSQL$KAVCSADMINKIT,MSSQLServerADHelper100,SQLAgent$,KAVCSADMINKIT-MSSQLAgentSQL-mKAVCSADMINKIT-SQLAgent2VEEAMSQLSQLWriter数据库$MICROSOFT##SSEE,MSSQL$SBSMONITORING,MSSQL$SHAREPOINT,MSSQLFDLauncher$SBSMONITORING,MSSQLFDLauncher$SHAREPOINT,SQLAgent$SBSMONITORING,SQLAgent$SHAREPOINT,QBFCService,QBVSS,YooBackup,YooIT,vss,sql,svc$,MSSQL,MSSQL$,memtas,mepocs,sophos,veeam,backup,bedbg,PDVF$Service,BackupExecVSSProvider,BackupExecAgentAccelerator,BackupExecAgentBrowser,BackupExecDiveciMediaService,BackupExecJobEngine,BackupExecManagementService,BackupExecRPCService,MVArmor,MVarmor64,stcrawagent,VSNAPVSS,VeeamTransportSvc,VeeamDeploymentService,VeeamNFSSvc,AcronisAgent,ARSM,AcrSch2Svc,CASAD2DWebSvc,WSBExchange,MSExchange在确保“自身安全”后,LockBit会获取主机中的文件后缀进行比对加密;加密文件后缀列表:.386、.cmd、.exe、.ani、.adv、.theme、.msi、.msp、.com、.diagpkg、.nls、.diagcab、.lock、.ocx、.mpa、.cpl、.mod、.hta、.icns、.prf、.rtp、.diagcfg、.msstyles、.bin、.hlp、.shs、.drv、.wpx、.bat、.rom、.msc、.spl、.ps1、.msu、.ics、.key、.mp3、.reg、.dll,.ini,.idx,.sys,.ico,.Lnk,.rdp为了防止某些系统文件加密导致的操作系统异常,LockBit“非常体贴”地将一些特定的系统文件排除在加密范围之外,使得用户可以正常打开系统;未加密文件列表:$windows.~bt,intel,msocache,$recycle.bin,$windows.~ws,torbrowser,boot,systemvolumeinformation,perflogs,google,applictiondata,windows,windows.old,appdata加密过程遍历宿主机中的文件夹和文件;遍历后,对文件进行加密,后缀加上.lockbit;生成RSA公钥;完成加密会话后,RSA完整加密会话的公钥会存放在注册表的full和public中(模数和指数,分别为0x100和0x3字节)使用AES算法进行加密为了加密更多的主机,LockBit是加密的最后会通过枚举盘符来判断是否是网络共享盘;获取名称后,它会调用所有的共享文件夹和文件,从而加密更多的文件,达到不可逆的效果。使用异或来解密勒索文件的信息内容。文件内容如下:加固建议(1)对日常工作中的重要数据文件设置相应的访问权限,关闭不必要的文件共享功能,定期进行异地备份;(2)使用高强度的主机密码,避免多台设备使用相同的密码。不要将3389等端口直接映射到外网,防止暴力破解;(3)避免打开来历不明的电子邮件、链接和URL附件。从非官方渠道下载非正版应用软件,如果文件类型与图标不符,应使用安全软件杀毒;(四)定期检测系统漏洞,及时进行补丁修复。
