世界上最活躍的勒索病毒又(yòu)一次升級變種出現
2023-01-18 604【安(ān)全圈】世界上最活躍的勒索病毒又(yòu)一次升級變種出現
關鍵詞:勒索病毒
Lockbit Ransomware 團夥,也稱為(wèi) Bitwise Spider,是流行的 Lockbit Ransomware-as-a-service 背後的網絡犯罪策劃者。他(tā)們是最活躍的勒索病毒團夥之一,通常每天有(yǒu)多(duō)個受害者,有(yǒu)時甚至更高。2022 年 3 月 16 日,他(tā)們開始在其暗網網站上不斷宣布新(xīn)的受害者,比任何勒索病毒組織都要快得多(duō)。
近日,91數據恢複團隊接到一家公(gōng)司的求助,這家公(gōng)司的服務(wù)器都因中(zhōng)毒感染.lockbit3.0勒索病毒而導緻公(gōng)司業務(wù)停擺或停滞,.lockbit3.0勒索病毒今年突然升級變種傳播,這個勒索病毒究竟是什麽來頭與變化?
如需恢複數據,可(kě)關注“91數據恢複”進行免費檢測與咨詢獲取數據恢複的相關幫助。下面我們來了解看看這個._locked後綴勒索病毒。
一、什麽是Lockbit 3.0勒索病毒?
LockBit 3.0(也稱為(wèi) LockBit Black)是LockBit 勒索軟件的新(xīn)變種。它加密文(wén)件,修改文(wén)件名(míng),更改桌面牆紙,并在桌面上放置一個文(wén)本文(wén)件(名(míng)為(wèi)“ [random_string].README.txt ”)。LockBit 3.0 将文(wén)件名(míng)及其擴展名(míng)替換為(wèi)随機動态和靜态字符串。
LockBit 3.0 如何重命名(míng)文(wén)件的示例:它将“ 1.jpg ”替換為(wèi)“ CDtU3Eq.HLJkNskOq ”,将“ 2.png ”替換為(wèi)“ PLikeDC.HLJkNskOq ”,将“ 3.exe ”替換為(wèi)“ qwYkH3L.HLJkNskOq ”,等等。
他(tā)們于 2019 年 9 月作(zuò)為(wèi) ABCD 勒索病毒開始 運營,然後更名(míng)為(wèi) Lockbit。他(tā)們已更名(míng),并于 2021 年 6 月推出了更好的勒索軟件 Lockbit 2.0。我們已經看到,Lockbit 2.0 勒索軟件引入了卷影複制和日志(zhì)文(wén)件删除等新(xīn)功能(néng),使受害者更難恢複。此外,Lockbit 在最流行的勒索軟件團夥中(zhōng)擁有(yǒu)最快的加密速度,在一分(fēn)鍾内加密了大約 25,000 個文(wén)件。
該病毒團夥起源于俄L斯。根據對 Lockbit 2.0的詳細分(fēn)析,勒索軟件會檢查默認系統語言并避免加密,如果受害系統的語言是俄語或鄰近國(guó)家之一的語言,則會停止攻擊。
LockBit 3.0 贖金票據概述
贖金說明指出數據被盜并加密。如果受害者不支付贖金,數據将發布在暗網。它指示使用(yòng)提供的網站和個人 ID 聯系攻擊者。此外,贖金記錄警告說,删除或修改加密文(wén)件将導緻解密問題。
LockBit 3.0 還引入了漏洞賞金計劃
随着 LockBit 3.0 的發布,該行動引入了勒索軟件團夥提供的第一個漏洞賞金計劃,要求安(ān)全研究人員提交漏洞報告以換取 1,000 至 100 萬美元的獎勵。
“我們邀請地球上所有(yǒu)的安(ān)全研究人員、道德(dé)和不道德(dé)的黑客參與我們的漏洞賞金計劃。報酬金額從 1000 美元到 100 萬美元不等,”LockBit 3.0 漏洞賞金頁(yè)面寫道。
二、Lockbit3.0勒索病毒攻擊的分(fēn)析:
新(xīn)版本的 LockBit(Lockbit 3.0 或 LockBitBlack)使用(yòng)了一種代碼保護機制,即二進制文(wén)件中(zhōng)存在加密代碼部分(fēn),從而阻礙惡意軟件檢測,尤其是在通過自動分(fēn)析執行時。
要激活惡意軟件的正确執行, 必須在啓動惡意文(wén)件時提供 解密密鑰作(zuò)為(wèi)參數 ( -pass ),如果沒有(yǒu)此密鑰,其行為(wèi)隻會在執行開始時導緻軟件崩潰。用(yòng)于分(fēn)析樣本的解密密鑰報告如下:
db66023ab2abcb9957fb01ed50cdfa6a
當程序啓動時,要調用(yòng)的第一個子例程 ( sub_41B000 ) 負責執行二進制部分(fēn)的解密,方法是從執行參數中(zhōng)檢索解密密鑰并将其傳遞給 RC4 密鑰調度算法 (KSA) 算法.
稍後,通過讀取 進程環境塊 (PEB) 訪問要解密的部分(fēn)
惡意軟件實施的反分(fēn)析機制涉及執行其惡意行為(wèi)所需的 Win32 API 的動态加載。
負責加載所需 API 并将其映射到内存的子程序隻能(néng)在惡意軟件的解密/解包版本上進行分(fēn)析。解析 API 的方式在于調用(yòng)子程序 ( sub_407C5C ),該子程序接收與密鑰 0x4506DFCA異或 的混淆字符串作(zuò)為(wèi)輸入 ,以便解密 要解析的Win32 API名(míng)稱。
分(fēn)析還顯示了 Lockbit 3.0 勒索病毒和 BlackMatter 樣本之間相似的其他(tā)代碼部分(fēn),這表明實施這兩種勒索軟件的威脅組之間可(kě)能(néng)存在相關性。
為(wèi)了阻礙分(fēn)析,LockBit 3.0 勒索病毒還使用(yòng) 了字符串混淆,這是通過一個簡單的解密算法 ( XOR ) 來解密字符串。關于 文(wén)件加密,勒索軟件采用(yòng)多(duō)線(xiàn)程方式。文(wén)件使用(yòng)AES加密,對于大文(wén)件,并非所有(yǒu)内容都被加密,而隻是其中(zhōng)的一部分(fēn)。
三、中(zhōng)了Lockbit3.0後綴勒索病毒文(wén)件怎麽恢複?
此後綴病毒文(wén)件由于加密算法的原因,每台感染的電(diàn)腦服務(wù)器文(wén)件都不一樣,需要獨立檢測與分(fēn)析加密文(wén)件的病毒特征與加密情況,才能(néng)确定最适合的恢複方案。
考慮到數據恢複需要的時間、成本、風險等因素,建議如果數據不太重要,建議直接全盤掃描殺毒後全盤格式化重裝(zhuāng)系統,後續做好系統安(ān)全防護工(gōng)作(zuò)即可(kě)。如果受感染的數據确實有(yǒu)恢複的價值與必要性,可(kě)關注“91數據恢複”進行免費咨詢獲取數據恢複的相關幫助。
四、系統安(ān)全防護措施建議:
預防遠(yuǎn)比救援重要,所以為(wèi)了避免出現此類事件,強烈建議大家日常做好以下防護措施:
①及時給辦(bàn)公(gōng)終端和服務(wù)器打補丁,修複漏洞,包括操作(zuò)系統以及第三方應用(yòng)的補丁,防止攻擊者通過漏洞入侵系統。
②盡量關閉不必要的端口,如139、445、3389等端口。如果不使用(yòng),可(kě)直接關閉高危端口,降低被漏洞攻擊的風險。
③不對外提供服務(wù)的設備不要暴露于公(gōng)網之上,對外提供服務(wù)的系統,應保持較低權限。
④企業用(yòng)戶應采用(yòng)高強度且無規律的密碼來登錄辦(bàn)公(gōng)系統或服務(wù)器,要求包括數字、大小(xiǎo)寫字母、符号,且長(cháng)度至少為(wèi)8位的密碼,并定期更換口令。
⑤數據備份保護,對關鍵數據和業務(wù)系統做備份,如離線(xiàn)備份,異地備份,雲備份等, 避免因為(wèi)數據丢失、被加密等造成業務(wù)停擺,甚至被迫向攻擊者妥協。
⑥敏感數據隔離,對敏感業務(wù)及其相關數據做好網絡隔離。避免雙重勒索病毒在入侵後輕易竊取到敏感數據,對公(gōng)司業務(wù)和機密信息造成重大威脅。
⑦盡量關閉不必要的文(wén)件共享。
⑧提高安(ān)全運維人員職業素養,定期進行木(mù)馬病毒查殺。
END