瞄準各行企業及政府組織,LockBit勒索入侵加密無得解

深信服千里目發表於2021-07-22

背景概述

Lockbit勒索病毒最初於2019年9月被發現,當時稱之為“ABCD病毒”,該別名是參考了當時被加密檔案的字尾。利用此勒索病毒進行攻擊的黑客團伙以針對企業及政府組織而出名,主要目標為中國,印度,印度尼西亞,烏克蘭;對英國,法國,德國等歐洲國家也有過數次攻擊。

Lockbit勒索病毒主要會將終端檔案進行加密並將字尾修改為.lockbit,生成Restore-My-Files.txt的勒索資訊,並修改桌面背景,這個勒索病毒家族目前沒有公開的解密工具,使用者一旦中招只能提交大量的贖金才可以解密。

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解

主要特徵

Lockbit的特徵主要是以下幾點:

1、獨特的解密記號:在LockBit的勒索信中Tor URL的16位元組分別對應了每個加密檔案後的位元組以及公共登錄檔項的前8個位元組,從而可以讓該團伙在解密的過程中,更容易定位及匹配金鑰資訊。瞄準各行企業及政府組織,LockBit勒索入侵加密無得解

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解


2、存在不加害物件列表:LockBit似乎對部分國家存在“善心”,病毒檔案會獲取本機系統語言資訊,遇到以下列表的國家或系統語言則不會進行勒索加密。

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解


排除國家和語言列表

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解


3、獨有的桌面桌布:LockBit除了和其他勒索病毒家族一樣留下勒索信之外,還會修改當前的桌面背景,它將獨有的桌面背景圖片儲存在路徑Appdata\Local\Temp下,修改登錄檔wallpaper項將其設定為桌面背景。

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解

樣本分析

LockBit勒索病毒大量使用了英特爾的SSE指令集和特定於體系結構的功能,以提高其效能,並將這些字串變數通過異或進行解密;

解密前:

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解


解密後:

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解

 

LockBit使用互斥訊號量來防止多個勒索病毒在該系統上執行;

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解


修改登錄檔SOFTWARE\Microsoft\Windows\CurrentVersion\Run讓惡意的軟體隨著開機啟動;

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解

 

LockBit含有包含多個防病毒軟體的服務列表,一旦檢測到相關的防病毒軟體服務則進行干預並停止防病毒軟體,以避免自身被查殺;

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解


相關的防病毒軟體服務列表為:wrapper, DefWatch, ccEvtMgr, ccSetMgr, SavRoam, Sqlservr, sqlagent, sqladhlp, Culserver, RTVscan, sqlbrowser, SQLADHLP, QBIDService, Intuit.QuickBooks.FCS, QBCFMonitorService, sqlwriter, msmdsrv, tomcat6, zhudongfangyu, vmware-usbarbitator64, vmware-converter, dbsrv12, dbeng8, MSSQL$MICROSOFT##WID, MSSQL$VEEAMSQL2012, SQLAgent$VEEAMSQL2012, SQLBrowser, SQLWriter, FishbowlMySQL, MySQL57, MSSQL$KAVCSADMINKIT, MSSQLServerADHelper100, SQLAgent$KAVCSADMINKIT, msftesql-Exchange, MSSQL$MICROSOFT##SSEE, MSSQL$SBSMONITORING, MSSQL$SHAREPOINT, MSSQLFDLauncher$SBSMONITORING, MSSQLFDLauncher$SHAREPOINT, SQLAgent$SBSMONITORING, SQLAgent$SHAREPOINT, QBFCService, QBVSS, YooBackup, YooIT, vss, sql, svc$, MSSQL, MSSQL$, memtas, mepocs, sophos, veeam, backup, bedbg, PDVF$Service, BackupExecVSSProvider, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, MVArmor, MVarmor64, stcrawagent, VSNAPVSS, VeeamTransportSvc, VeeamDeploymentService, VeeamNFSSvc, AcronisAgent, ARSM, AcrSch2Svc, CASAD2DWebSvc, WSBExchange, MSExchange

在確保“自身安全”後,LockBit將會獲取主機中的檔案字尾進行比對並加密;

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解


加密檔案字尾列表:

.386, .cmd, .exe, .ani, .adv, .theme, .msi, .msp, .com, .diagpkg, .nls, .diagcab, .lock, .ocx, .mpa, .cpl, .mod, .hta, .icns, .prf, .rtp, .diagcfg, .msstyles, .bin, .hlp, .shs, .drv, .wpx, .bat, .rom, .msc, .spl, .ps1, .msu, .ics, .key, .mp3, .reg, .dll, .ini, .idx, .sys, .ico, .Lnk, .rdp

為了防止加密某些系統檔案導致作業系統異常,LockBit“很貼心”地將一些特定的系統檔案排除到加密範圍,使得使用者可以正常開啟系統;

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解


不加密檔案列表:$windows.~bt, intel, msocache, $recycle.bin, $windows.~ws, tor browser, boot, system volume information, perflogs, google, appliction data, windows, windows.old, appdata

加密過程

遍歷主機中的資料夾與檔案;

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解


遍歷結束後,加密檔案並將.lockbit加到字尾名;

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解


生成RSA的公鑰 ;

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解


完成了加密會話後,RSA的完整加密會話的公鑰會儲存在登錄檔的full與public中(模數和指數,分別為 0x100 和 0x3 位元組)。

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解


使用AES演算法加密

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解


為了可以加密更多的主機,LockBit在加密後會通過列舉驅動號,來確定是否為網路共享的盤;

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解

 

獲取名稱後,會呼叫共享的所有資料夾和檔案,從而加密更多的檔案,達到不可挽回的後果。

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解


通過異或來解密出勒索檔案資訊內容,檔案內容如下:

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解

 

加固建議

1.日常生活工作中的重要的資料檔案資料設定相應的訪問許可權,關閉不必要的檔案共享功能並且定期進行非本地備份;

2.使用高強度的主機密碼,並避免多臺裝置使用相同密碼,不要對外網直接對映3389等埠,防止暴力破解;

3.避免開啟來歷不明的郵件、連結和網址附件等,儘量不要在非官方渠道下載非正版的應用軟體,發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺;

4.定期檢測系統漏洞並且及時進行補丁修復。

深信服安全產品解決方案

1.深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺

64位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

 

2.深信服安全感知、下一代防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;

瞄準各行企業及政府組織,LockBit勒索入侵加密無得解

3.深信服安全產品整合深信服SAVE人工智慧檢測引擎,擁有強大的泛化能力,精準防禦未知病毒;

4.深信服推出安全運營服務,通過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。

相關文章