Bevictor伟德

新闻中心

LockBit病毒一连升级，Bevictor伟德多款产品精准出击！

宣布时间：2022-08-30

浏览次数：5012

分享：

近期，Bevictor伟德谛听实验室关注到LockBit勒索软件团伙宣布了最新版本勒索软件LockBit 3.0，其引入了Zcash加密钱币支付选项、新的勒索战略及首个勒索软件误差赏金妄想。自2019年以来，该团伙提供的勒索软件即服务（RaaS）操作一直活跃，经由两个月的beta测试，LockBit刷新后的新版本已用于攻击。据泄露数据站点的统计批注，在2022年第一季度所有与勒索软件相关的泄露事务中，LockBit占比46%。仅在今年6月中，就有44起网络攻击与该组织有关，LockBit显然已成为最活跃的勒索软件团伙。

近年来，勒索软件攻击高速增添，已成为网络天下的一种盛行病，除交赎金外，险些无解。现在，Bevictor伟德EDR、自顺应防御系统等产品均可精准检测并查杀该勒索病毒，有用避免勒索事务爆发，强化终端网络清静，起劲营造清朗的网络空间情形。

样天职析

LockBit3.0版本勒索软件的赎金纪录不再称为“Restore-My-Files.txt”，而是改为命名名堂[id].README.txt，如图所示以下。别的，该项目已重命名为 LockBit Black。

LockBit 3.0版本的运行增添了参数校验，需要输入如下准确的参数才华乐成执行。

运行后会连忙解密出PE文件中各区段的真实代码信息，之后跳转到解密后的代码中执行。

在获取到系统函数的地址后，天生解密API函数的指针表，相当于给系统API挪用加了一个简朴的执行解密壳。

之以是说LockBit与BlackMatter极其相似，是由于其设置文件的解密与BlackMatter险些如出一辙，许多设置数据需要单字节异或、APLIB解压缩、Base64编码等多种解码后方能看到原始数据。详情解密要领及剧本可以参考https://research.openanalysis.net/lockbit/lockbit3/yara/triage/ransomware/2022/07/07/lockbit3.html。

检查系统使用的语言。目今系统主机中的语言若是属于下列语言类型勒索软件会直接退出。包括阿塞拜疆文（西里尔文、阿塞拜疆）、阿塞拜疆文（拉丁文、阿塞拜疆）、亚美尼亚文（亚美尼亚）、白俄罗斯文（白俄罗斯）、格鲁吉亚文（格鲁吉亚）、哈萨克文（哈萨克斯坦）、吉尔吉斯文（吉尔吉斯斯坦）、俄文（摩尔多瓦）、俄文（俄罗斯）、塔吉克文（西里尔文、塔吉克斯坦）、土库曼文（土库曼斯坦）、乌兹别克文（西里尔文、乌兹别克斯坦）、乌兹别克文（拉丁文、乌兹别克斯坦）、乌克兰文（乌克兰）。

LockBit的所有参数、服务名称、历程名称、后缀名称、文件名称都使用一个算法函数举行不可逆变换后举行校验，这样的利益是阻止在内存中直接袒露含有大宗敏感的字符串列表。字符串校验的算法如下图所示，该算法对字符串的每一个字符举行ROR循环右移0xDh次，若是字符为大写字母加上原字符HEX数值异或0x20h，不然直接加上字符的HEX数值，最终获得的字符串是一个不可逆的32位HEX数值。如“txt”对应HEX数值0xEBA01E00h。

勒索软件运行中必需使用的字符串则通过在栈中异或0x4506DFCAh再取反厥后解密字符串，字符串解密的IDApython剧本可以参考源项目

https://github.com/StupidBird-Code/Malware_Analysize-Tools/blob/main/lockbit3.0_decrypt.py。

之后循环提权，划分获取SeBackupPrivilege、SeManageVolumePrivilege、SeTakeOwnershipPrivilege、SeDebugPrivilege等权限，主要目的是可以竣事掉滋扰加密历程的历程和服务并具备足够高的权限举行加密文件。

建设互斥量

Global\2cae82bd1366f4e0fdc7a9a7c12e2a6b

LockBit在加密所有文件前的准备事情基本在新建的多个线程中完成。其中第一个线程启用Windows系统自带的TrustedInstaller服务。

并枚举系统所有服务状态，凭证服务名称字符串的校验算法竣事掉特定服务历程。竣事的服务历程包括以下服务名称：

第二个线程挪用CoCreateInstance等系统API执行WMI语句删除卷影副本，主要目的是避免数据被恢复。

第三个线程在加密历程中会枚举系统中运行的所有历程，并竣事以下名称的历程：

第四个线程执行IOCP多线程处置惩罚的程序，后续用于加密并写入文件内容。别的LockBit在获取磁盘信息时，建设新线程挪用GetLogicalDriveStringsW和GetDriveTypeW两个要害API，此种代码行为应该是为了规避清静软件在动态执行中的API序列行为监测。

勒索软件在加密历程中会扫除以下后缀的文件：

在加密历程中会扫除以下名称的文件：

扫除包括以下名称的文件夹路径：

加密历程中LockBit会为每一个文件天生新的七个字母名称，以".HLJkNskOq"为牢靠后缀，之后挪用MoveFileEx函数改变被加密文件的名称。

之后在高优先级的多个IOCP处置惩罚线程中加密并写入文件数据，实现高性能的加密速率。勒索前后接纳了RSA算法和自界说的算法加密文件，实质上无法解密被加密文件。

被LockBit 3.0加密后的文件图标会被修改为玄色的“B”字样。勒索软件将设计好的图标文件释放在C:\ProgramData\HLJkNskOq.ico路径下，并在注册表中建设HKCR\HLJkNskOq\DefaultIcon\(Default)项目，设置.HLJKNskOq后缀的默认图标路径为此ico。

最终在ico图标文件的同目录下释放bmp文件，通过修改注册表将其设置为桌面配景。

在每个目录下释放的勒索的提醒信息如下：

样本IOCs列表

防护建议

1、实时修复系统误差，降低被LockBit勒索病毒通过误差入侵的危害；

2、增强会见控制，关闭不须要的端口，禁用不须要的毗连，降低资产危害袒露面；

3、更改系统及应用使用的默认密码，设置高强度密码认证，并按期更新密码，避免弱口令攻击；

4、可装置Bevictor伟德清静产品增强防护，Bevictor伟德EDR系统、自顺应清静防御系统，可有用防御该勒索病毒。

产品先容

■Bevictor伟德EDR系统防御设置

1、开启勒索病毒诱捕，阻断加密行为，防护勒索病毒威胁；

2、通过微隔离战略增强会见控制，降低横向熏染危害；

3、开启文件实时监控功效，可有用预防和查杀该勒索病毒。

■Bevictor伟德自顺应清静防御系统防御设置

1、开启病毒实时监测功效，可有用预防和查杀该勒索病毒；

2、通过微隔离战略增强会见控制，降低横向熏染危害；

3、通过危害发明功效扫描系统是否保存相关误差和弱口令，降低危害、镌汰资产袒露；

——?产品获取方法?——

Bevictor伟德自顺应清静防御系统、Bevictor伟德EDR系统企业版试用（可通过Bevictor伟德天下分支机构获�。�

http://www.topsec.com.cn/contact/

Bevictor伟德EDR系统单机版下载地址：

http://edr.topsec.com.cn

TOPSEC

勒索病毒作为网络天下盛行病，近年来一再对种种组织机构的营业清静以致社会秩序造成重大威胁。Bevictor伟德始终深耕产品、手艺与服务，致力于网络清静包管系统建设，一直为客户提供完整的产品服务化体验，助力国家网络清静工业康健与可一连生长。

要害词标签：: Bevictor伟德EDR LockBit病毒 自顺应防御系统 终端网络清静

上一篇 “网络+清静”高效融合 | Bevictor伟德SD-WAN计划入编《清静SD-WAN应用指南》报告

下一篇 “挖矿”羁系一连加码，Bevictor伟德“九合一探针”开启周全消杀

最新运动

新品宣布正式宣布！Bevictor伟德火焰威胁检测系统打造智能防御新范式

2025-06-25

连忙审查

合作动态 Bevictor伟德正式成为「华为鸿蒙商用解决计划首批合作伙伴」

2025-06-24

连忙审查

推荐新闻

Bevictor伟德防火墙一连25年连任海内市场第一

审查详情

智算一体机标杆企业！Bevictor伟德入编《2025-2026年中国智算一体机行业研究报告》

审查详情

Bevictor伟德一连12年获CNNVD一级手艺支持单位称呼

审查详情

Bevictor伟德与华为正式开启周全合作，团结宣布“智算+清静”两大新品！

审查详情

Bevictor伟德一连五届入选CICSVD国家工业信息清静误差库手艺组成员单位

审查详情

Bevictor伟德智算一体机首批通过工信领域能力认证！

审查详情

推荐产品

解决计划

在线咨询

销售咨询>
手艺支持>
云服务支持>
售前支持>

在线留言

手艺支持>
售前支持>
培训营业>
清静服务>

客户服务热线

400-777-0777
7*24小时服务

联系邮箱

servicing@topsec.com.cn

扫码关注