背景概述

Lockbit勒索病毒最初於2019年9月被發現，當時稱之為“ABCD病毒”，該別名是參考了當時被加密檔案的字尾。利用此勒索病毒進行攻擊的駭客團伙以針對企業及政府組織而出名，主要目標為中國，印度，印度尼西亞，烏克蘭；對英國，法國，德國等歐洲國家也有過數次攻擊。

Lockbit勒索病毒主要會將終端檔案進行加密並將字尾修改為.lockbit，生成Restore-My-Files.txt的勒索資訊，並修改桌面背景，這個勒索病毒家族目前沒有公開的解密工具，使用者一旦中招只能提交大量的贖金才可以解密。

主要特徵

Lockbit的特徵主要是以下幾點：

1、獨特的解密記號：在LockBit的勒索信中Tor URL的16位元組分別對應了每個加密檔案後的位元組以及公共登錄檔項的前8個位元組，從而可以讓該團伙在解密的過程中，更容易定位及匹配金鑰資訊。

2、存在不加害物件列表：LockBit似乎對部分國家存在“善心”，病毒檔案會獲取本機系統語言資訊，遇到以下列表的國家或系統語言則不會進行勒索加密。

排除國家和語言列表

3、獨有的桌面桌布：LockBit除了和其他勒索病毒家族一樣留下勒索信之外，還會修改當前的桌面背景，它將獨有的桌面背景圖片儲存在路徑Appdata\Local\Temp下，修改登錄檔wallpaper項將其設定為桌面背景。

樣本分析

LockBit勒索病毒大量使用了英特爾的SSE指令集和特定於體系結構的功能，以提高其效能，並將這些字串變數透過異或進行解密；

解密前：

解密後：

 

LockBit使用互斥訊號量來防止多個勒索病毒在該系統上執行；

修改登錄檔SOFTWARE\Microsoft\Windows\CurrentVersion\Run讓惡意的軟體隨著開機啟動；

 

LockBit含有包含多個防病毒軟體的服務列表，一旦檢測到相關的防病毒軟體服務則進行干預並停止防病毒軟體，以避免自身被查殺；

相關的防病毒軟體服務列表為：wrapper, DefWatch, ccEvtMgr, ccSetMgr, SavRoam, Sqlservr, sqlagent, sqladhlp, Culserver, RTVscan, sqlbrowser, SQLADHLP, QBIDService, Intuit.QuickBooks.FCS, QBCFMonitorService, sqlwriter, msmdsrv, tomcat6, zhudongfangyu, vmware-usbarbitator64, vmware-converter, dbsrv12, dbeng8, MSSQL$MICROSOFT##WID, MSSQL$VEEAMSQL2012, SQLAgent$VEEAMSQL2012, SQLBrowser, SQLWriter, FishbowlMySQL, MySQL57, MSSQL$KAVCSADMINKIT, MSSQLServerADHelper100, SQLAgent$KAVCSADMINKIT, msftesql-Exchange, MSSQL$MICROSOFT##SSEE, MSSQL$SBSMONITORING, MSSQL$SHAREPOINT, MSSQLFDLauncher$SBSMONITORING, MSSQLFDLauncher$SHAREPOINT, SQLAgent$SBSMONITORING, SQLAgent$SHAREPOINT, QBFCService, QBVSS, YooBackup, YooIT, vss, sql, svc$, MSSQL, MSSQL$, memtas, mepocs, sophos, veeam, backup, bedbg, PDVF$Service, BackupExecVSSProvider, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, MVArmor, MVarmor64, stcrawagent, VSNAPVSS, VeeamTransportSvc, VeeamDeploymentService, VeeamNFSSvc, AcronisAgent, ARSM, AcrSch2Svc, CASAD2DWebSvc, WSBExchange, MSExchange

在確保“自身安全”後，LockBit將會獲取主機中的檔案字尾進行比對並加密；

加密檔案字尾列表：

.386, .cmd, .exe, .ani, .adv, .theme, .msi, .msp, .com, .diagpkg, .nls, .diagcab, .lock, .ocx, .mpa, .cpl, .mod, .hta, .icns, .prf, .rtp, .diagcfg, .msstyles, .bin, .hlp, .shs, .drv, .wpx, .bat, .rom, .msc, .spl, .ps1, .msu, .ics, .key, .mp3, .reg, .dll, .ini, .idx, .sys, .ico, .Lnk, .rdp

為了防止加密某些系統檔案導致作業系統異常，LockBit“很貼心”地將一些特定的系統檔案排除到加密範圍，使得使用者可以正常開啟系統；

不加密檔案列表：$windows.~bt, intel, msocache, $recycle.bin, $windows.~ws, tor browser, boot, system volume information, perflogs, google, appliction data, windows, windows.old, appdata

加密過程

遍歷主機中的資料夾與檔案；

遍歷結束後，加密檔案並將.lockbit加到字尾名；

生成RSA的公鑰 ；

完成了加密會話後，RSA的完整加密會話的公鑰會儲存在登錄檔的full與public中（模數和指數，分別為 0x100 和 0x3 位元組）。

使用AES演算法加密

為了可以加密更多的主機，LockBit在加密後會透過列舉驅動號，來確定是否為網路共享的盤；

 

獲取名稱後，會呼叫共享的所有資料夾和檔案，從而加密更多的檔案，達到不可挽回的後果。

透過異或來解密出勒索檔案資訊內容，檔案內容如下：

 

加固建議

1.日常生活工作中的重要的資料檔案資料設定相應的訪問許可權，關閉不必要的檔案共享功能並且定期進行非本地備份；

2.使用高強度的主機密碼，並避免多臺裝置使用相同密碼，不要對外網直接對映3389等埠，防止暴力破解；

3.避免開啟來歷不明的郵件、連結和網址附件等，儘量不要在非官方渠道下載非正版的應用軟體，發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺；

4.定期檢測系統漏洞並且及時進行補丁修復。

深信服安全產品解決方案

1.深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

 

2.深信服安全感知、下一代防火牆、EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

3.深信服安全產品整合深信服SAVE人工智慧檢測引擎，擁有強大的泛化能力，精準防禦未知病毒；

4.深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。