近期，，，，，，，3377体育网官网入口谛听实验室关注到LockBit勒索软件团伙宣布了最新版本勒索软件LockBit 3.0，，，，，，，其引入了Zcash加密钱币支付选项、新的勒索战略及首个勒索软件误差赏金妄想。。。。。。。自2019年以来，，，，，，，该团伙提供的勒索软件即服务（RaaS）操作一直活跃，，，，，，，经由两个月的beta测试，，，，，，，LockBit刷新后的新版本已用于攻击。。。。。。。据泄露数据站点的统计批注，，，，，，，在2022年第一季度所有与勒索软件相关的泄露事务中，，，，，，，LockBit占比46%。。。。。。。仅在今年6月中，，，，，，，就有44起网络攻击与该组织有关，，，，，，，LockBit显然已成为最活跃的勒索软件团伙。。。。。。。

近年来，，，，，，，勒索软件攻击高速增添，，，，，，，已成为网络天下的一种盛行病，，，，，，，除交赎金外，，，，，，，险些无解。。。。。。。现在，，，，，，，3377体育网官网入口EDR、自顺应防御系统等产品均可精准检测并查杀该勒索病毒，，，，，，，有用避免勒索事务爆发，，，，，，，强化终端网络清静，，，，，，，起劲营造清朗的网络空间情形。。。。。。。

样天职析

LockBit3.0版本勒索软件的赎金纪录不再称为“Restore-My-Files.txt”，，，，，，，而是改为命名名堂[id].README.txt，，，，，，，如图所示以下。。。。。。。别的，，，，，，，该项目已重命名为 LockBit Black。。。。。。。

LockBit 3.0版本的运行增添了参数校验，，，，，，，需要输入如下准确的参数才华乐成执行。。。。。。。

运行后会连忙解密出PE文件中各区段的真实代码信息，，，，，，，之后跳转到解密后的代码中执行。。。。。。。

在获取到系统函数的地点后，，，，，，，天生解密API函数的指针表，，，，，，，相当于给系统API挪用加了一个简朴的执行解密壳。。。。。。。

之以是说LockBit与BlackMatter极其相似，，，，，，，是由于其设置文件的解密与BlackMatter险些如出一辙，，，，，，，许多设置数据需要单字节异或、APLIB解压缩、Base64编码等多种解码后方能看到原始数据。。。。。。。详情解密要领及剧本可以参考https://research.openanalysis.net/lockbit/lockbit3/yara/triage/ransomware/2022/07/07/lockbit3.html。。。。。。。

检查系统使用的语言。。。。。。。目今系统主机中的语言若是属于下列语言类型勒索软件会直接退出。。。。。。。包括阿塞拜疆文（西里尔文、阿塞拜疆）、阿塞拜疆文（拉丁文、阿塞拜疆）、亚美尼亚文（亚美尼亚）、白俄罗斯文（白俄罗斯）、格鲁吉亚文（格鲁吉亚）、哈萨克文（哈萨克斯坦）、吉尔吉斯文（吉尔吉斯斯坦）、俄文（摩尔多瓦）、俄文（俄罗斯）、塔吉克文（西里尔文、塔吉克斯坦）、土库曼文（土库曼斯坦）、乌兹别克文（西里尔文、乌兹别克斯坦）、乌兹别克文（拉丁文、乌兹别克斯坦）、乌克兰文（乌克兰）。。。。。。。

LockBit的所有参数、服务名称、历程名称、后缀名称、文件名称都使用一个算法函数举行不可逆变换后举行校验，，，，，，，这样的利益是阻止在内存中直接袒露含有大宗敏感的字符串列表。。。。。。。字符串校验的算法如下图所示，，，，，，，该算法对字符串的每一个字符举行ROR循环右移0xDh次，，，，，，，若是字符为大写字母加上原字符HEX数值异或0x20h，，，，，，，不然直接加上字符的HEX数值，，，，，，，最终获得的字符串是一个不可逆的32位HEX数值。。。。。。。如“txt”对应HEX数值0xEBA01E00h。。。。。。。

勒索软件运行中必需使用的字符串则通过在栈中异或0x4506DFCAh再取反厥后解密字符串，，，，，，，字符串解密的IDApython剧本可以参考源项目

https://github.com/StupidBird-Code/Malware_Analysize-Tools/blob/main/lockbit3.0_decrypt.py。。。。。。。

之后循环提权，，，，，，，划分获取SeBackupPrivilege、SeManageVolumePrivilege、SeTakeOwnershipPrivilege、SeDebugPrivilege等权限，，，，，，，主要目的是可以竣事掉滋扰加密历程的历程和服务并具备足够高的权限举行加密文件。。。。。。。

建设互斥量

Global\2cae82bd1366f4e0fdc7a9a7c12e2a6b

LockBit在加密所有文件前的准备事情基本在新建的多个线程中完成。。。。。。。其中第一个线程启用Windows系统自带的TrustedInstaller服务。。。。。。。

并枚举系统所有服务状态，，，，，，，凭证服务名称字符串的校验算法竣事掉特定服务历程。。。。。。。竣事的服务历程包括以下服务名称：

第二个线程挪用CoCreateInstance等系统API执行WMI语句删除卷影副本，，，，，，，主要目的是避免数据被恢复。。。。。。。

第三个线程在加密历程中会枚举系统中运行的所有历程，，，，，，，并竣事以下名称的历程：

第四个线程执行IOCP多线程处置惩罚的程序，，，，，，，后续用于加密并写入文件内容。。。。。。。别的LockBit在获取磁盘信息时，，，，，，，建设新线程挪用GetLogicalDriveStringsW和GetDriveTypeW两个要害API，，，，，，，此种代码行为应该是为了规避清静软件在动态执行中的API序列行为监测。。。。。。。

勒索软件在加密历程中会扫除以下后缀的文件：

在加密历程中会扫除以下名称的文件：

扫除包括以下名称的文件夹路径：

加密历程中LockBit会为每一个文件天生新的七个字母名称，，，，，，，以".HLJkNskOq"为牢靠后缀，，，，，，，之后挪用MoveFileEx函数改变被加密文件的名称。。。。。。。

之后在高优先级的多个IOCP处置惩罚线程中加密并写入文件数据，，，，，，，实现高性能的加密速率。。。。。。。勒索前后接纳了RSA算法和自界说的算法加密文件，，，，，，，实质上无法解密被加密文件。。。。。。。

被LockBit 3.0加密后的文件图标会被修改为玄色的“B”字样。。。。。。。勒索软件将设计好的图标文件释放在C:\ProgramData\HLJkNskOq.ico路径下，，，，，，，并在注册表中建设HKCR\HLJkNskOq\DefaultIcon\(Default)项目，，，，，，，设置.HLJKNskOq后缀的默认图标路径为此ico。。。。。。。

最终在ico图标文件的同目录下释放bmp文件，，，，，，，通过修改注册表将其设置为桌面配景。。。。。。。

在每个目录下释放的勒索的提醒信息如下：

样本IOCs列表

防护建议

1、实时修复系统误差，，，，，，，降低被LockBit勒索病毒通过误差入侵的危害；；；；；；

2、增强会见控制，，，，，，，关闭不须要的端口，，，，，，，禁用不须要的毗连，，，，，，，降低资产危害袒露面；；；；；；

3、更改系统及应用使用的默认密码，，，，，，，设置高强度密码认证，，，，，，，并按期更新密码，，，，，，，避免弱口令攻击；；；；；；

4、可装置3377体育网官网入口清静产品增强防护，，，，，，，3377体育网官网入口EDR系统、自顺应清静防御系统，，，，，，，可有用防御该勒索病毒。。。。。。。

产品先容

■3377体育网官网入口EDR系统防御设置

1、开启勒索病毒诱捕，，，，，，，阻断加密行为，，，，，，，防护勒索病毒威胁；；；；；；

2、通过微隔离战略增强会见控制，，，，，，，降低横向熏染危害；；；；；；

3、开启文件实时监控功效，，，，，，，可有用预防和查杀该勒索病毒。。。。。。。

■3377体育网官网入口自顺应清静防御系统防御设置

1、开启病毒实时监测功效，，，，，，，可有用预防和查杀该勒索病毒；；；；；；

2、通过微隔离战略增强会见控制，，，，，，，降低横向熏染危害；；；；；；

3、通过危害发明功效扫描系统是否保存相关误差和弱口令，，，，，，，降低危害、镌汰资产袒露；；；；；；

——?产品获取方法?——

3377体育网官网入口自顺应清静防御系统、3377体育网官网入口EDR系统企业版试用（可通过3377体育网官网入口天下分支机构获。。。。。。。

http://www.topsec.com.cn/contact/

3377体育网官网入口EDR系统单机版下载地点：

http://edr.topsec.com.cn

TOPSEC

勒索病毒作为网络天下盛行病，，，，，，，近年来一再对种种组织机构的营业清静以致社会秩序造成重大威胁。。。。。。。3377体育网官网入口始终深耕产品、手艺与服务，，，，，，，致力于网络清静包管系统建设，，，，，，，一直为客户提供完整的产品服务化体验，，，，，，，助力国家网络清静工业康健与可一连生长。。。。。。。