偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

瞄準(zhǔn)各行企業(yè)及政府組織,LockBit勒索入侵加密無(wú)得解

安全 網(wǎng)站安全
Lockbit勒索病毒最初于2019年9月被發(fā)現(xiàn),當(dāng)時(shí)稱(chēng)之為“ABCD病毒”,該別名是參考了當(dāng)時(shí)被加密文件的后綴。

[[416642]]

背景概述

Lockbit勒索病毒最初于2019年9月被發(fā)現(xiàn),當(dāng)時(shí)稱(chēng)之為“ABCD病毒”,該別名是參考了當(dāng)時(shí)被加密文件的后綴。利用此勒索病毒進(jìn)行攻擊的黑客團(tuán)伙以針對(duì)企業(yè)及政府組織而出名,主要目標(biāo)為中國(guó),印度,印度尼西亞,烏克蘭;對(duì)英國(guó),法國(guó),德國(guó)等歐洲國(guó)家也有過(guò)數(shù)次攻擊。

Lockbit勒索病毒主要會(huì)將終端文件進(jìn)行加密并將后綴修改為.lockbit,生成Restore-My-Files.txt的勒索信息,并修改桌面背景,這個(gè)勒索病毒家族目前沒(méi)有公開(kāi)的解密工具,用戶一旦中招只能提交大量的贖金才可以解密。


主要特征

Lockbit的特征主要是以下幾點(diǎn):

(1) 獨(dú)特的解密記號(hào):在LockBit的勒索信中Tor URL的16字節(jié)分別對(duì)應(yīng)了每個(gè)加密文件后的字節(jié)以及公共注冊(cè)表項(xiàng)的前8個(gè)字節(jié),從而可以讓該團(tuán)伙在解密的過(guò)程中,更容易定位及匹配密鑰信息。


(2) 存在不加害對(duì)象列表:LockBit似乎對(duì)部分國(guó)家存在“善心”,病毒文件會(huì)獲取本機(jī)系統(tǒng)語(yǔ)言信息,遇到以下列表的國(guó)家或系統(tǒng)語(yǔ)言則不會(huì)進(jìn)行勒索加密。


排除國(guó)家和語(yǔ)言列表


(3) 獨(dú)有的桌面壁紙:LockBit除了和其他勒索病毒家族一樣留下勒索信之外,還會(huì)修改當(dāng)前的桌面背景,它將獨(dú)有的桌面背景圖片儲(chǔ)存在路徑Appdata\Local\Temp下,修改注冊(cè)表wallpaper項(xiàng)將其設(shè)置為桌面背景。


樣本分析

LockBit勒索病毒大量使用了英特爾的SSE指令集和特定于體系結(jié)構(gòu)的功能,以提高其性能,并將這些字符串變量通過(guò)異或進(jìn)行解密;

解密前:


解密后:


LockBit使用互斥信號(hào)量來(lái)防止多個(gè)勒索病毒在該系統(tǒng)上運(yùn)行;


修改注冊(cè)表SOFTWARE\Microsoft\Windows\CurrentVersion\Run讓惡意的軟件隨著開(kāi)機(jī)啟動(dòng);


LockBit含有包含多個(gè)防病毒軟件的服務(wù)列表,一旦檢測(cè)到相關(guān)的防病毒軟件服務(wù)則進(jìn)行干預(yù)并停止防病毒軟件,以避免自身被查殺;


相關(guān)的防病毒軟件服務(wù)列表為:

wrapper, DefWatch, ccEvtMgr, ccSetMgr, SavRoam, Sqlservr, sqlagent, sqladhlp, Culserver, RTVscan, sqlbrowser, SQLADHLP, QBIDService, Intuit.QuickBooks.FCS, QBCFMonitorService, sqlwriter, msmdsrv, tomcat6, zhudongfangyu, vmware-usbarbitator64, vmware-converter, dbsrv12, dbeng8, MSSQL$MICROSOFT##WID, MSSQL$VEEAMSQL2012, SQLAgent$VEEAMSQL2012, SQLBrowser, SQLWriter, FishbowlMySQL, MySQL57, MSSQL$KAVCSADMINKIT, MSSQLServerADHelper100, SQLAgent$KAVCSADMINKIT, msftesql-Exchange, MSSQL$MICROSOFT##SSEE, MSSQL$SBSMONITORING, MSSQL$SHAREPOINT, MSSQLFDLauncher$SBSMONITORING, MSSQLFDLauncher$SHAREPOINT, SQLAgent$SBSMONITORING, SQLAgent$SHAREPOINT, QBFCService, QBVSS, YooBackup, YooIT, vss, sql, svc$, MSSQL, MSSQL$, memtas, mepocs, sophos, veeam, backup, bedbg, PDVF$Service, BackupExecVSSProvider, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, MVArmor, MVarmor64, stcrawagent, VSNAPVSS, VeeamTransportSvc, VeeamDeploymentService, VeeamNFSSvc, AcronisAgent, ARSM, AcrSch2Svc, CASAD2DWebSvc, WSBExchange, MSExchange

在確保“自身安全”后,LockBit將會(huì)獲取主機(jī)中的文件后綴進(jìn)行比對(duì)并加密;


加密文件后綴列表:

.386, .cmd, .exe, .ani, .adv, .theme, .msi, .msp, .com, .diagpkg, .nls, .diagcab, .lock, .ocx, .mpa, .cpl, .mod, .hta, .icns, .prf, .rtp, .diagcfg, .msstyles, .bin, .hlp, .shs, .drv, .wpx, .bat, .rom, .msc, .spl, .ps1, .msu, .ics, .key, .mp3, .reg, .dll, .ini, .idx, .sys, .ico, .Lnk, .rdp

為了防止加密某些系統(tǒng)文件導(dǎo)致操作系統(tǒng)異常,LockBit“很貼心”地將一些特定的系統(tǒng)文件排除到加密范圍,使得用戶可以正常打開(kāi)系統(tǒng);


不加密文件列表:

$windows.~bt, intel, msocache, $recycle.bin, $windows.~ws, tor browser, boot, system volume information, perflogs, google, appliction data, windows, windows.old, appdata

加密過(guò)程

遍歷主機(jī)中的文件夾與文件;


遍歷結(jié)束后,加密文件并將.lockbit加到后綴名;


生成RSA的公鑰 ;


完成了加密會(huì)話后,RSA的完整加密會(huì)話的公鑰會(huì)存儲(chǔ)在注冊(cè)表的full與public中(模數(shù)和指數(shù),分別為 0x100 和 0x3 字節(jié))。


使用AES算法加密


為了可以加密更多的主機(jī),LockBit在加密后會(huì)通過(guò)枚舉驅(qū)動(dòng)號(hào),來(lái)確定是否為網(wǎng)絡(luò)共享的盤(pán);


獲取名稱(chēng)后,會(huì)調(diào)用共享的所有文件夾和文件,從而加密更多的文件,達(dá)到不可挽回的后果。


通過(guò)異或來(lái)解密出勒索文件信息內(nèi)容,文件內(nèi)容如下:


加固建議

(1) 日常生活工作中的重要的數(shù)據(jù)文件資料設(shè)置相應(yīng)的訪問(wèn)權(quán)限,關(guān)閉不必要的文件共享功能并且定期進(jìn)行非本地備份;

(2) 使用高強(qiáng)度的主機(jī)密碼,并避免多臺(tái)設(shè)備使用相同密碼,不要對(duì)外網(wǎng)直接映射3389等端口,防止暴力破解;

(3) 避免打開(kāi)來(lái)歷不明的郵件、鏈接和網(wǎng)址附件等,盡量不要在非官方渠道下載非正版的應(yīng)用軟件,發(fā)現(xiàn)文件類(lèi)型與圖標(biāo)不相符時(shí)應(yīng)先使用安全軟件對(duì)文件進(jìn)行查殺;

(4) 定期檢測(cè)系統(tǒng)漏洞并且及時(shí)進(jìn)行補(bǔ)丁修復(fù)。

 

責(zé)任編輯:趙寧寧 來(lái)源: FreeBuf
相關(guān)推薦

2022-03-23 13:57:24

勒索組織黑客

2023-11-03 12:58:44

2023-11-04 15:16:55

2023-05-17 00:15:57

2024-03-01 15:03:16

2022-04-13 16:25:57

勒索軟件網(wǎng)絡(luò)攻擊

2023-09-27 22:48:45

2022-07-26 14:55:49

勒索軟件數(shù)據(jù)泄露

2023-04-06 19:13:57

2024-05-13 12:00:15

2022-11-23 14:35:10

2024-04-10 12:08:29

2021-08-06 17:14:52

勒索軟件攻擊數(shù)據(jù)泄露

2025-04-10 10:03:37

2021-08-19 16:03:20

勒索軟件攻擊數(shù)據(jù)泄露

2021-09-07 11:51:25

勒索軟件惡意軟件安全

2023-03-07 18:40:31

2015-01-09 09:12:15

2009-09-10 09:29:09

Linux組織Linux微軟專(zhuān)利

2014-04-18 15:31:42

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)