近期，天融信諦聽實驗室關注到LockBit勒索軟件團伙發布了最新版本勒索軟件LockBit 3.0，其引入了Zcash加密貨幣支付選項、新的勒索策略及首個勒索軟件漏洞賞金計劃。自2019年以來，該團伙提供的勒索軟件即服務（RaaS）操作一直活躍，經過兩個月的beta測試，LockBit改進后的新版本已用于攻擊。據泄露數據站點的統計表明，在2022年第一季度所有與勒索軟件相關的泄露事件中，LockBit占比46%。僅在今年6月中，就有44起網絡攻擊與該組織有關，LockBit顯然已成為最活躍的勒索軟件團伙。

近年來，勒索軟件攻擊高速增長，已成為網絡世界的一種流行病，除交贖金外，幾乎無解。目前，天融信EDR、自適應防御系統等產品均可精準檢測并查殺該勒索病毒，有效防止勒索事件發生，強化終端網絡安全，積極營造清朗的網絡空間環境。

樣本分析

LockBit3.0版本勒索軟件的贖金記錄不再稱為“Restore-My-Files.txt”，而是改為命名格式[id].README.txt，如圖所示以下。此外，該項目已重命名為 LockBit Black。

LockBit 3.0版本的運行增加了參數校驗，需要輸入如下正確的參數才能成功執行。

運行后會立即解密出PE文件中各區段的真實代碼信息，之后跳轉到解密后的代碼中執行。

在獲取到系統函數的地址后，生成解密API函數的指針表，相當于給系統API調用加了一個簡單的執行解密殼。

之所以說LockBit與BlackMatter極其相似，是因為其配置文件的解密與BlackMatter幾乎如出一轍，許多配置數據需要單字節異或、APLIB解壓縮、Base64編碼等多種解碼后方能看到原始數據。詳情解密方法及腳本可以參考https://research.openanalysis.net/lockbit/lockbit3/yara/triage/ransomware/2022/07/07/lockbit3.html。

檢查系統使用的語言。當前系統主機中的語言如果屬于下列語言類型勒索軟件會直接退出。包括阿塞拜疆文（西里爾文、阿塞拜疆）、阿塞拜疆文（拉丁文、阿塞拜疆）、亞美尼亞文（亞美尼亞）、白俄羅斯文（白俄羅斯）、格魯吉亞文（格魯吉亞）、哈薩克文（哈薩克斯坦）、吉爾吉斯文（吉爾吉斯斯坦）、俄文（摩爾多瓦）、俄文（俄羅斯）、塔吉克文（西里爾文、塔吉克斯坦）、土庫曼文（土庫曼斯坦）、烏茲別克文（西里爾文、烏茲別克斯坦）、烏茲別克文（拉丁文、烏茲別克斯坦）、烏克蘭文（烏克蘭）。

LockBit的所有參數、服務名稱、進程名稱、后綴名稱、文件名稱都使用一個算法函數進行不可逆變換后進行校驗，這樣的好處是避免在內存中直接暴露含有大量敏感的字符串列表。字符串校驗的算法如下圖所示，該算法對字符串的每一個字符進行ROR循環右移0xDh次，如果字符為大寫字母加上原字符HEX數值異或0x20h，否則直接加上字符的HEX數值，最終得到的字符串是一個不可逆的32位HEX數值。如“txt”對應HEX數值0xEBA01E00h。

勒索軟件運行中必須使用的字符串則通過在棧中異或0x4506DFCAh再取反后來解密字符串，字符串解密的IDApython腳本可以參考源項目

https://github.com/StupidBird-Code/Malware_Analysize-Tools/blob/main/lockbit3.0_decrypt.py。

之后循環提權，分別獲取SeBackupPrivilege、SeManageVolumePrivilege、SeTakeOwnershipPrivilege、SeDebugPrivilege等權限，主要目的是可以結束掉干擾加密過程的進程和服務并具備足夠高的權限進行加密文件。

創建互斥量

Global\2cae82bd1366f4e0fdc7a9a7c12e2a6b

LockBit在加密所有文件前的準備工作基本在新建的多個線程中完成。其中第一個線程啟用Windows系統自帶的TrustedInstaller服務。

并枚舉系統所有服務狀態，根據服務名稱字符串的校驗算法結束掉特定服務進程。結束的服務進程包括以下服務名稱：

第二個線程調用CoCreateInstance等系統API執行WMI語句刪除卷影副本，主要目的是防止數據被恢復。

第三個線程在加密過程中會枚舉系統中運行的所有進程，并結束以下名稱的進程：

第四個線程執行IOCP多線程處理的程序，后續用于加密并寫入文件內容。此外LockBit在獲取磁盤信息時，創建新線程調用GetLogicalDriveStringsW和GetDriveTypeW兩個關鍵API，此種代碼行為應該是為了規避安全軟件在動態執行中的API序列行為監測。

勒索軟件在加密過程中會排除以下后綴的文件：

在加密過程中會排除以下名稱的文件：

排除包含以下名稱的文件夾路徑：

加密過程中LockBit會為每一個文件生成新的七個字母名稱，以".HLJkNskOq"為固定后綴，之后調用MoveFileEx函數改變被加密文件的名稱。

之后在高優先級的多個IOCP處理線程中加密并寫入文件數據，實現高性能的加密速度。勒索前后采用了RSA算法和自定義的算法加密文件，本質上無法解密被加密文件。

被LockBit 3.0加密后的文件圖標會被修改為黑色的“B”字樣。勒索軟件將設計好的圖標文件釋放在C:\ProgramData\HLJkNskOq.ico路徑下，并在注冊表中創建HKCR\HLJkNskOq\DefaultIcon\(Default)項目，設置.HLJKNskOq后綴的默認圖標路徑為此ico。

最終在ico圖標文件的同目錄下釋放bmp文件，通過修改注冊表將其設置為桌面背景。

在每個目錄下釋放的勒索的提示信息如下：

樣本IOCs列表

防護建議

1、及時修復系統漏洞，降低被LockBit勒索病毒通過漏洞入侵的風險；

2、加強訪問控制，關閉不必要的端口，禁用不必要的連接，降低資產風險暴露面；

3、更改系統及應用使用的默認密碼，配置高強度密碼認證，并定期更新密碼，防止弱口令攻擊；

4、可安裝天融信安全產品加強防護，天融信EDR系統、自適應安全防御系統，可有效防御該勒索病毒。

產品介紹

■天融信EDR系統防御配置

1、開啟勒索病毒誘捕，阻斷加密行為，防護勒索病毒威脅；

2、通過微隔離策略加強訪問控制，降低橫向感染風險；

3、開啟文件實時監控功能，可有效預防和查殺該勒索病毒。

■天融信自適應安全防御系統防御配置

1、開啟病毒實時監測功能，可有效預防和查殺該勒索病毒；

2、通過微隔離策略加強訪問控制，降低橫向感染風險；

3、通過風險發現功能掃描系統是否存在相關漏洞和弱口令，降低風險、減少資產暴露；

——?產品獲取方式?——

天融信自適應安全防御系統、天融信EDR系統企業版試用（可通過天融信全國分支機構獲取）：

http://www.jinri-gushi.com/contact/

天融信EDR系統單機版下載地址：

http://edr.topsec.com.cn

TOPSEC

勒索病毒作為網絡世界流行病，近年來屢屢對各類組織機構的業務安全乃至社會秩序造成重大威脅。天融信始終深耕產品、技術與服務，致力于網絡安全保障體系建設，不斷為客戶提供完備的產品服務化體驗，助力國家網絡安全產業健康與可持續發展。