背景概述
Lockbit勒索病毒最初於2019年9月被發現,當時稱之為“ABCD病毒”,該別名是參考了當時被加密檔案的字尾。利用此勒索病毒進行攻擊的黑客團伙以針對企業及政府組織而出名,主要目標為中國,印度,印度尼西亞,烏克蘭;對英國,法國,德國等歐洲國家也有過數次攻擊。
Lockbit勒索病毒主要會將終端檔案進行加密並將字尾修改為.lockbit,生成Restore-My-Files.txt的勒索資訊,並修改桌面背景,這個勒索病毒家族目前沒有公開的解密工具,使用者一旦中招只能提交大量的贖金才可以解密。
主要特徵
Lockbit的特徵主要是以下幾點:
1、獨特的解密記號:在LockBit的勒索信中Tor URL的16位元組分別對應了每個加密檔案後的位元組以及公共登錄檔項的前8個位元組,從而可以讓該團伙在解密的過程中,更容易定位及匹配金鑰資訊。
2、存在不加害物件列表:LockBit似乎對部分國家存在“善心”,病毒檔案會獲取本機系統語言資訊,遇到以下列表的國家或系統語言則不會進行勒索加密。
排除國家和語言列表
3、獨有的桌面桌布:LockBit除了和其他勒索病毒家族一樣留下勒索信之外,還會修改當前的桌面背景,它將獨有的桌面背景圖片儲存在路徑Appdata\Local\Temp下,修改登錄檔wallpaper項將其設定為桌面背景。
樣本分析
LockBit勒索病毒大量使用了英特爾的SSE指令集和特定於體系結構的功能,以提高其效能,並將這些字串變數通過異或進行解密;
解密前:
解密後:
LockBit使用互斥訊號量來防止多個勒索病毒在該系統上執行;
修改登錄檔SOFTWARE\Microsoft\Windows\CurrentVersion\Run讓惡意的軟體隨著開機啟動;
LockBit含有包含多個防病毒軟體的服務列表,一旦檢測到相關的防病毒軟體服務則進行干預並停止防病毒軟體,以避免自身被查殺;
相關的防病毒軟體服務列表為:wrapper, DefWatch, ccEvtMgr, ccSetMgr, SavRoam, Sqlservr, sqlagent, sqladhlp, Culserver, RTVscan, sqlbrowser, SQLADHLP, QBIDService, Intuit.QuickBooks.FCS, QBCFMonitorService, sqlwriter, msmdsrv, tomcat6, zhudongfangyu, vmware-usbarbitator64, vmware-converter, dbsrv12, dbeng8, MSSQL$MICROSOFT##WID, MSSQL$VEEAMSQL2012, SQLAgent$VEEAMSQL2012, SQLBrowser, SQLWriter, FishbowlMySQL, MySQL57, MSSQL$KAVCSADMINKIT, MSSQLServerADHelper100, SQLAgent$KAVCSADMINKIT, msftesql-Exchange, MSSQL$MICROSOFT##SSEE, MSSQL$SBSMONITORING, MSSQL$SHAREPOINT, MSSQLFDLauncher$SBSMONITORING, MSSQLFDLauncher$SHAREPOINT, SQLAgent$SBSMONITORING, SQLAgent$SHAREPOINT, QBFCService, QBVSS, YooBackup, YooIT, vss, sql, svc$, MSSQL, MSSQL$, memtas, mepocs, sophos, veeam, backup, bedbg, PDVF$Service, BackupExecVSSProvider, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, MVArmor, MVarmor64, stcrawagent, VSNAPVSS, VeeamTransportSvc, VeeamDeploymentService, VeeamNFSSvc, AcronisAgent, ARSM, AcrSch2Svc, CASAD2DWebSvc, WSBExchange, MSExchange
在確保“自身安全”後,LockBit將會獲取主機中的檔案字尾進行比對並加密;
加密檔案字尾列表:
.386, .cmd, .exe, .ani, .adv, .theme, .msi, .msp, .com, .diagpkg, .nls, .diagcab, .lock, .ocx, .mpa, .cpl, .mod, .hta, .icns, .prf, .rtp, .diagcfg, .msstyles, .bin, .hlp, .shs, .drv, .wpx, .bat, .rom, .msc, .spl, .ps1, .msu, .ics, .key, .mp3, .reg, .dll, .ini, .idx, .sys, .ico, .Lnk, .rdp
為了防止加密某些系統檔案導致作業系統異常,LockBit“很貼心”地將一些特定的系統檔案排除到加密範圍,使得使用者可以正常開啟系統;
不加密檔案列表:$windows.~bt, intel, msocache, $recycle.bin, $windows.~ws, tor browser, boot, system volume information, perflogs, google, appliction data, windows, windows.old, appdata
加密過程
遍歷主機中的資料夾與檔案;
遍歷結束後,加密檔案並將.lockbit加到字尾名;
生成RSA的公鑰 ;
完成了加密會話後,RSA的完整加密會話的公鑰會儲存在登錄檔的full與public中(模數和指數,分別為 0x100 和 0x3 位元組)。
使用AES演算法加密
為了可以加密更多的主機,LockBit在加密後會通過列舉驅動號,來確定是否為網路共享的盤;
獲取名稱後,會呼叫共享的所有資料夾和檔案,從而加密更多的檔案,達到不可挽回的後果。
通過異或來解密出勒索檔案資訊內容,檔案內容如下:
加固建議
1.日常生活工作中的重要的資料檔案資料設定相應的訪問許可權,關閉不必要的檔案共享功能並且定期進行非本地備份;
2.使用高強度的主機密碼,並避免多臺裝置使用相同密碼,不要對外網直接對映3389等埠,防止暴力破解;
3.避免開啟來歷不明的郵件、連結和網址附件等,儘量不要在非官方渠道下載非正版的應用軟體,發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺;
4.定期檢測系統漏洞並且及時進行補丁修復。
深信服安全產品解決方案
1.深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺
64位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2.深信服安全感知、下一代防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;
3.深信服安全產品整合深信服SAVE人工智慧檢測引擎,擁有強大的泛化能力,精準防禦未知病毒;
4.深信服推出安全運營服務,通過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。