瞄準各行企業(yè)及政府組織，LockBit勒索入侵加密無(wú)

背景概述

Lockbit勒索病毒最初于2019年9月被發(fā)現，當時(shí)稱(chēng)之為“ABCD病毒”，該別名是參考了當時(shí)被加密文件的后綴。利用此勒索病毒進(jìn)行攻擊的黑客團伙以針對企業(yè)及政府組織而出名，主要目標為中國，印度，印度尼西亞，烏克蘭;對英國，法國，德國等歐洲國家也有過(guò)數次攻擊。

Lockbit勒索病毒主要會(huì )將終端文件進(jìn)行加密并將后綴修改為.lockbit，生成Restore-My-Files.txt的勒索信息，并修改桌面背景，這個(gè)勒索病毒家族目前沒(méi)有公開(kāi)的解密工具，用戶(hù)一旦中招只能提交大量的贖金才可以解密。

主要特征

Lockbit的特征主要是以下幾點(diǎn)：

(1) 獨特的解密記號：在LockBit的勒索信中Tor URL的16字節分別對應了每個(gè)加密文件后的字節以及公共注冊表項的前8個(gè)字節，從而可以讓該團伙在解密的過(guò)程中，更容易定位及匹配密鑰信息。

(2) 存在不加害對象列表：LockBit似乎對部分國家存在“善心”，病毒文件會(huì )獲取本機系統語(yǔ)言信息，遇到以下列表的國家或系統語(yǔ)言則不會(huì )進(jìn)行勒索加密。

排除國家和語(yǔ)言列表

(3) 獨有的桌面壁紙：LockBit除了和其他勒索病毒家族一樣留下勒索信之外，還會(huì )修改當前的桌面背景，它將獨有的桌面背景圖片儲存在路徑Appdata\Local\Temp下，修改注冊表wallpaper項將其設置為桌面背景。

樣本分析

LockBit勒索病毒大量使用了英特爾的SSE指令集和特定于體系結構的功能，以提高其性能，并將這些字符串變量通過(guò)異或進(jìn)行解密;

解密前：

解密后：

LockBit使用互斥信號量來(lái)防止多個(gè)勒索病毒在該系統上運行;

修改注冊表SOFTWARE\Microsoft\Windows\CurrentVersion\Run讓惡意的軟件隨著(zhù)開(kāi)機啟動(dòng);

LockBit含有包含多個(gè)防病毒軟件的服務(wù)列表，一旦檢測到相關(guān)的防病毒軟件服務(wù)則進(jìn)行干預并停止防病毒軟件，以避免自身被查殺;

相關(guān)的防病毒軟件服務(wù)列表為：

wrapper, DefWatch, ccEvtMgr, ccSetMgr, SavRoam, Sqlservr, sqlagent, sqladhlp, Culserver, RTVscan, sqlbrowser, SQLADHLP, QBIDService, Intuit.QuickBooks.FCS, QBCFMonitorService, sqlwriter, msmdsrv, tomcat6, zhudongfangyu, vmware-usbarbitator64, vmware-converter, dbsrv12, dbeng8, MSSQL$MICROSOFT##WID, MSSQL$VEEAMSQL2012, SQLAgent$VEEAMSQL2012, SQLBrowser, SQLWriter, FishbowlMySQL, MySQL57, MSSQL$KAVCSADMINKIT, MSSQLServerADHelper100, SQLAgent$KAVCSADMINKIT, msftesql-Exchange, MSSQL$MICROSOFT##SSEE, MSSQL$SBSMONITORING, MSSQL$SHAREPOINT, MSSQLFDLauncher$SBSMONITORING, MSSQLFDLauncher$SHAREPOINT, SQLAgent$SBSMONITORING, SQLAgent$SHAREPOINT, QBFCService, QBVSS, YooBackup, YooIT, vss, sql, svc$, MSSQL, MSSQL$, memtas, mepocs, sophos, veeam, backup, bedbg, PDVF$Service, BackupExecVSSProvider, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, MVArmor, MVarmor64, stcrawagent, VSNAPVSS, VeeamTransportSvc, VeeamDeploymentService, VeeamNFSSvc, AcronisAgent, ARSM, AcrSch2Svc, CASAD2DWebSvc, WSBExchange, MSExchange

在確保“自身安全”后，LockBit將會(huì )獲取主機中的文件后綴進(jìn)行比對并加密;

加密文件后綴列表：

.386, .cmd, .exe, .ani, .adv, .theme, .msi, .msp, .com, .diagpkg, .nls, .diagcab, .lock, .ocx, .mpa, .cpl, .mod, .hta, .icns, .prf, .rtp, .diagcfg, .msstyles, .bin, .hlp, .shs, .drv, .wpx, .bat, .rom, .msc, .spl, .ps1, .msu, .ics, .key, .mp3, .reg, .dll, .ini, .idx, .sys, .ico, .Lnk, .rdp

為了防止加密某些系統文件導致操作系統異常，LockBit“很貼心”地將一些特定的系統文件排除到加密范圍，使得用戶(hù)可以正常打開(kāi)系統;

不加密文件列表：

$windows.~bt, intel, msocache, $recycle.bin, $windows.~ws, tor browser, boot, system volume information, perflogs, google, appliction data, windows, windows.old, appdata

加密過(guò)程

遍歷主機中的文件夾與文件;

遍歷結束后，加密文件并將.lockbit加到后綴名;

生成RSA的公鑰 ;

完成了加密會(huì )話(huà)后，RSA的完整加密會(huì )話(huà)的公鑰會(huì )存儲在注冊表的full與public中(模數和指數，分別為 0x100 和 0x3 字節)。

使用AES算法加密

為了可以加密更多的主機，LockBit在加密后會(huì )通過(guò)枚舉驅動(dòng)號，來(lái)確定是否為網(wǎng)絡(luò )共享的盤(pán);

獲取名稱(chēng)后，會(huì )調用共享的所有文件夾和文件，從而加密更多的文件，達到不可挽回的后果。

通過(guò)異或來(lái)解密出勒索文件信息內容，文件內容如下：

加固建議

(1) 日常生活工作中的重要的數據文件資料設置相應的訪(fǎng)問(wèn)權限，關(guān)閉不必要的文件共享功能并且定期進(jìn)行非本地備份;

(2) 使用高強度的主機密碼，并避免多臺設備使用相同密碼，不要對外網(wǎng)直接映射3389等端口，防止暴力破解;

(3) 避免打開(kāi)來(lái)歷不明的郵件、鏈接和網(wǎng)址附件等，盡量不要在非官方渠道下載非正版的應用軟件，發(fā)現文件類(lèi)型與圖標不相符時(shí)應先使用安全軟件對文件進(jìn)行查殺;

(4) 定期檢測系統漏洞并且及時(shí)進(jìn)行補丁修復。