设为首页|收藏本站|
发帖
登录 注册
西兔生活网 华人生活 唐人街茶馆 Lockbit 3.0勒索病毒:世界上最活跃的勒索病毒的又一次 ...
回复 发帖
返回列表 发新帖
开启左侧

[闲聊] Lockbit 3.0勒索病毒:世界上最活跃的勒索病毒的又一次 ...

[复制链接]
97398 0
我是孟弟弟 发表于 2022-7-14 19:41:55 | 只看该作者 打印 上一主题 下一主题
 
Lockbit 3.0勒索病毒:世界上最活跃的勒索病毒的又一次 ... 第1张图片


前言:简介
        Lockbit Ransomware 团伙,也称为 Bitwise Spider,是流行的 Lockbit Ransomware-as-a-service 背后的网络犯罪策划者。他们是最活跃的勒索病毒团伙之一,通常每天有多个受害者,有时甚至更高。2022 年 3 月 16 日,他们开始在其暗网网站上不断宣布新的受害者,比任何勒索病毒组织都要快得多。
        近日,91数据恢复团队接到一家公司的求助,这家公司的服务器都因中毒感染.lockbit3.0勒索病毒而导致公司业务停摆或停滞,.lockbit3.0勒索病毒今年突然升级变种传播,这个勒索病毒究竟是什么来头与变化?
        如需恢复数据,可添加我们的数据恢复服务号(sjhf91)进行免费检测与咨询获取数据恢复的相关帮助。下面我们来了解看看这个._locked后缀勒索病毒。

一、什么是Lockbit 3.0勒索病毒?
        LockBit 3.0(也称为 LockBit Black)是LockBit 勒索软件的新变种。它加密文件,修改文件名,更改桌面墙纸,并在桌面上放置一个文本文件(名为“ [random_string].README.txt ”)。LockBit 3.0 将文件名及其扩展名替换为随机动态和静态字符串。
        LockBit 3.0 如何重命名文件的示例:它将“ 1.jpg ”替换为“ CDtU3Eq.HLJkNskOq ”,将“ 2.png ”替换为“ PLikeDC.HLJkNskOq ”,将“ 3.exe ”替换为“ qwYkH3L.HLJkNskOq ”,等等.
       他们于 2019 年 9 月作为 ABCD 勒索病毒开始 运营,然后更名为 Lockbit。他们已更名,并于 2021 年 6 月推出了更好的勒索软件 Lockbit 2.0。我们已经看到,Lockbit 2.0 勒索软件引入了卷影复制和日志文件删除等新功能,使受害者更难恢复。此外,Lockbit 在最流行的勒索软件团伙中拥有最快的加密速度,在一分钟内加密了大约 25,000 个文件。
       该病毒团伙起源于俄L斯。根据对  Lockbit 2.0的详细分析,勒索软件会检查默认系统语言并避免加密,如果受害系统的语言是俄语或邻近国家之一的语言,则会停止攻击。


Lockbit 3.0勒索病毒:世界上最活跃的勒索病毒的又一次 ... 第2张图片


LockBit 3.0 赎金票据概述
        赎金说明指出数据被盗并加密。如果受害者不支付赎金,数据将发布在暗网。它指示使用提供的网站和个人 ID 联系攻击者。此外,赎金记录警告说,删除或修改加密文件将导致解密问题。
LockBit 3.0 还引入了漏洞赏金计划
        随着 LockBit 3.0 的发布,该行动引入了勒索软件团伙提供的第一个漏洞赏金计划,要求安全研究人员提交漏洞报告以换取 1,000 至 100 万美元的奖励。
        “我们邀请地球上所有的安全研究人员、道德和不道德的黑客参与我们的漏洞赏金计划。报酬金额从 1000 美元到 100 万美元不等,”LockBit 3.0 漏洞赏金页面写道。

二、Lockbit3.0勒索病毒攻击的分析:
新版本的 LockBit(Lockbit 3.0 或 LockBitBlack)使用了一种代码保护机制,即二进制文件中存在加密代码部分,从而阻碍恶意软件检测,尤其是在通过自动分析执行时。
要激活恶意软件的正确执行,  必须在启动恶意文件时提供 解密密钥作为参数 ( -pass ),如果没有此密钥,其行为只会在执行开始时导致软件崩溃。用于分析样本的解密密钥报告如下:
db66023ab2abcb9957fb01ed50cdfa6a
当程序启动时,要调用的第一个子例程 ( sub_41B000 ) 负责执行二进制部分的解密,方法是从执行参数中检索解密密钥并将其传递给 RC4 密钥调度算法 (KSA) 算法.
稍后,通过读取 进程环境块 (PEB) 访问要解密的部分
恶意软件实施的反分析机制涉及执行其恶意行为所需的 Win32 API 的动态加载。
负责加载所需 API 并将其映射到内存的子程序只能在恶意软件的解密/解包版本上进行分析。解析 API 的方式在于调用子程序 ( sub_407C5C ),该子程序接收与密钥 0x4506DFCA异或 的混淆字符串作为输入 ,以便解密  要解析的Win32 API名称。
分析还显示了 Lockbit 3.0 勒索病毒和 BlackMatter 样本之间相似的其他代码部分,这表明实施这两种勒索软件的威胁组之间可能存在相关性。
为了阻碍分析,LockBit 3.0 勒索病毒还使用 了字符串混淆,这是通过一个简单的解密算法 ( XOR ) 来解密字符串。关于 文件加密,勒索软件采用多线程方式。文件使用AES加密,对于大文件,并非所有内容都被加密,而只是其中的一部分。

三、中了Lockbit3.0后缀勒索病毒文件怎么恢复?
        此后缀病毒文件由于加密算法的原因,每台感染的电脑服务器文件都不一样,需要独立检测与分析加密文件的病毒特征与加密情况,才能确定最适合的恢复方案。
        考虑到数据恢复需要的时间、成本、风险等因素,建议如果数据不太重要,建议直接全盘扫描杀毒后全盘格式化重装系统,后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性,可添加我们的技术服务号(sjhf91)进行免费咨询获取数据恢复的相关帮助。

四、系统安全防护措施建议:
预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:
① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。
② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。
③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。
④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。
⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。
⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。
⑦ 尽量关闭不必要的文件共享。
⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。


上一篇:农村中小银行后疫情时期遭遇的困境与挑战
下一篇:深一度|闯荡UFC,中国搏击选手海外生存纪实
标签:受害者活跃的策划者受害多个
@



1.西兔生活网 CTLIVES 内容全部来自网络;
2.版权归原网站或原作者所有;
3.内容与本站立场无关;
4.若涉及侵权或有疑义,请点击“举报”按钮,其他联系方式或无法及时处理。
举报

关联主题
回复

使用道具 举报

 
返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

我是孟弟弟白金会员

0关注

8粉丝

451帖子

热门图文
热门帖子
排行榜
活跃网友
返回顶部快速回复上一主题下一主题返回列表APP下载手机访问
Copyright © 2016-2028 CTLIVES.COM All Rights Reserved.  西兔生活网  小黑屋| GMT+8, 2024-5-21 11:02