绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块活动众测积分兑换常见问题
本帖最后由 Potato 于 2021-8-9 16:09 编辑


相关阅读:Lockbit勒索病毒家族详情


一、概述
    此次分析的勒索病毒为Lockbit,该病毒使用PECompact进行加壳,同时使用多种反调试手段和字符串运行时解密、修改进程模块名等方式进行反分析。加密方式依旧采用常见的RSA+AES组合。
    程序支持传入参数进行测试:Lockbit.exe [path]。

360社区

360社区

二、代码分析
  Lockbit执行过程中,会创建一个名为Lockbit Ransom的隐藏窗口记录执行流程,并且注册热键shift+F1显示,F1隐藏。

360社区

360社区

1.        CIS地区避过
    程序通过系统用户使用语言检测并避过独立国家联合体(CIS)地区国家:

  1. <div>2092:阿塞拜疆 - 西里尔文
  2. </div><div>1068:阿塞拜疆语 - 拉丁语
  3. </div><div>1067:亚美尼亚语
  4. </div><div>1059:白俄罗斯语
  5. </div><div>1079:格鲁吉亚语
  6. </div><div>1087:哈萨克语
  7. </div><div>1088:吉尔吉斯语 - 西里尔文
  8. </div><div>2073:俄语 - 摩尔多瓦
  9. </div><div>1049:俄语
  10. </div><div>1064:塔吉克
  11. </div><div>1090:土库曼斯坦
  12. </div><div>2115:乌兹别克语 - 西里尔文
  13. </div><div>1091:乌兹别克语 - 拉丁语
  14. </div><div>1058:乌克兰
  15. </div>
复制代码


360社区

360社区


2.        UAC Bypass & 自启动
    Lockbit通过当前执行进程令牌判断当前进程令牌是否具备管理员权限。如果不具备但进程令牌属于管理员组且系统版本大于Windows XP,则使用COM接口进行提升权限重新启动进程。

360社区

360社区


    然后创建互斥量Global\\{BEF590BE-11A6-442A-A85B-656C1081E04C},以保证程序单例执行。在开始加密前,为防止中途中断导致加密失败,Lockbit为自身创建注册表自启动项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\XO1XADpO01,系统所有目标文件加密完成删除该键。 或许是出于防止自身进程被扫描,程序接着会设置当前进程对象的访问权限,禁止其他所有用户对当前进程对象的数据读取。

360社区

360社区


3.        结束指定进程&服务
    启用当前进程的SeDebugPrivilege权限,然后结束指定服务及其依赖项。这些服务包括:
wrapper、DefWatch、ccEvtMgr、ccSetMgr、SavRoam、Sqlservr、sqlagent、sqladhlp、Culserver、RTVscan、sqlbrowser、SQLADHLP、QBIDPService、Intuit.QuickBooks.FCS、QBCFMonitorService、sqlwriter、msmdsrv、tomcat6、zhudongfangyu、vmware-usbarbitator64、vmware-converter、dbsrv12、dbeng8、MSSQL$MICROSOFT##WID、MSSQL$VEEAMSQL2012、SQLAgent$VEEAMSQL2012、SQLBrowser、SQLWriter、FishbowlMySQL、MSSQL$MICROSOFT##WID、MySQL57、MSSQL$KAV_CS_ADMIN_KIT、MSSQLServerADHelper100、SQLAgent$KAV_CS_ADMIN_KIT、msftesql-Exchange、MSSQL$MICROSOFT##SSEE、MSSQL$SBSMONITORING、MSSQL$SHAREPOINT、MSSQLFDLauncher$SBSMONITORING、MSSQLFDLauncher$SHAREPOINT、SQLAgent$SBSMONITORING、SQLAgent$SHAREPOINT、QBFCService、QBVSS、YooBackup、YooIT、vss、sql、svc$、MSSQL、MSSQL$、memtas、mepocs、sophos、veeam、backup、bedbg、PDVFSService、BackupExecVSSProvider、BackupExecAgentAccelerator、BackupExecAgentBrowser、BackupExecDiveciMediaService、BackupExecJobEngine、BackupExecManagementService、BackupExecRPCService、MVArmor、MVarmor64、stc_raw_agent、VSNAPVSS、VeeamTransportSvc、VeeamDeploymentService、VeeamNFSSvc、AcronisAgent、ARSM、AcrSch2Svc、CASAD2DWebSvc、CAARCUpdateSvc、WSBExchange、MSExchange、MSExchange$

结束指定进程,解除数据文件占用:
wxServer、wxServerView、Sqlservr、RAgui、supervise、Culture、RTVscan、Defwatch、sqlbrowser、winword、QBW32、QBDBMgr、qbupdate、QBCFMonitorService、axlbridge、QBIDPService、httpd、fdlauncher、MsDtSrvr、tomcat6、java、360se、360doctor、wdswfsafe、fdhost、GDscan、ZhuDongFangYu、QBDBMgrN、sqlwriter、mysqld、AutodeskDesktopApp、acwebbrowser、Creative Cloud、Adobe Desktop Service、CoreSync、Adobe CEF Helper、node、AdobeIPCBroker、sync-taskbar、sync-worker、InputPersonalization、AdobeCollabSync、BrCtrlCntr、BrCcUxSys、SimplyConnectionManager、Simply.SystemTrayIcon、fbguard、fbserver、ONENOTEM、YooIT、wsa_service、koaly-exp-engine-service、TeamViewer_Service、TeamViewer、tv_w32、tv_x64、TitanV、Ssms、notepad、RdrCEF、sam、sql、oracle、ocssd、dbsnmp、synctime、agntsvc、isqlplussvc、xfssvccon、mydesktopservice、ocautoupds、encsvc、firefox、tbirdconfig、mydesktopqos、ocomm、dbeng50、sqbcoreservice、excel、infopath、msaccess、mspub、onenote、outlook、powerpnt、steam、thebat、thunderbird、visio、winword、wordpad、bedbh、vxmon、benetns、bengien、pvlsvr、beserver、raw_agent_svc、vsnapvss、CagService、DellSystemDetect、EnterpriseClient、VeeamNFSSvc、VeeamTransportSvc、VeeamDeploymentSvc

4.        删除卷影
    Lockbit通过清空回收站和删除卷影的方式清除可能的备份数据。删除卷影时,以runas方式执行以下命令:

  1. <div>/c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
  2. </div><div>/c vssadmin delete shadows /all /quiet
  3. </div><div>/c bcdedit /set {default} recoveryenabled No
  4. </div><div>/c bcdedit /set {default} bootstatuspolicy ignoreallfailures
  5. </div><div>/c wbadmin DELETE SYSTEMSTATEBACKUP
  6. </div><div>/c wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
  7. </div><div>/c wmic SHADOWCOPY /nointeractive
  8. </div><div>/c wevtutil cl security
  9. </div><div>/c wevtutil cl system
  10. </div><div>/c wevtutil cl application
  11. </div>
复制代码


360社区

360社区


5.        用户RSA密钥对生成
    Lockbit运行后会为用户生成一对RSA-2048公私钥,然后使用内置于程序中的攻击者RSA-2048公钥对用户私钥进行加密,加密结果大小为0x500字节。病毒会将该结果写入注册表键HKCU\SoftWare\LockBit\full,而未被加密的用户公钥则会被写入到HKCU\SoftWare\LockBit\Public。如果Lockbit由于某些原因中止重启,将直接从两个注册表中读取密钥数据,从而保证每台机器仅一对密钥。

360社区

360社区



360社区

360社区


6.        搜索文件进行加密
    在开始搜索可加密文件前,程序会先将未挂载的非系统使用的固定磁盘、可移动磁盘进行挂载,从’Z’递减作为挂载盘符,已彻底地加密机器上的数据。

360社区

360社区


    搜索文件时,程序主要对三种目标进行枚举:
    (1)        对本地ip列表逐个尝试连接,访问其文件;
    (2)        网络资源枚举;
    (3)        本地磁盘枚举。
    不过程序对于目录/文件的过滤方式都是相同的。会避过以下文件夹:

  1. <div>$windows.~bt
  2. </div><div>intel
  3. </div><div>msocache
  4. </div><div>$recycle.bin
  5. </div><div>$windows.~ws
  6. </div><div>tor browser
  7. </div><div>boot
  8. </div><div>system volume information
  9. </div><div>perflogs
  10. </div><div>google
  11. </div><div>application data
  12. </div><div>windows
  13. </div><div>windows.old
  14. </div><div>appdata
  15. </div><div>Windows nt
  16. </div><div>Msbuild
  17. </div><div>Microsoft
  18. </div><div>All users
  19. </div><div>mozilla
  20. </div><div>Microsoft.NET
  21. </div><div>microsoft shared
  22. </div><div>Internet Explorer
  23. </div><div>common files
  24. </div><div>opera
  25. </div><div>Windows Journal
  26. </div>
复制代码


根据文件后缀避过的文件类型包括:
  1. .theme、.icns、.lock、.rdp、.lnk、.ico、.hlp、.sys、.idx、.ini、.dll、.reg、.mp3、.key、.ics、.msu、.ps1、.spl、.msc、.rom、.bat、.wpx、.drv、.shs、.hlp、.bin、.rtp、.prf、.hta、.mod、.cpl、.mpa、.ocx、.nls、.com、.msp、.msi、.adv、.ani、.exe、.cmd、.386、.lockbit、.diagcfg、.diagcab、.diagpkg、.msstyles
复制代码


避过如下文件名:

  1. <div>Restore-My-Files.txt
  2. </div><div>ntldr
  3. </div><div>ntuser.dat.log
  4. </div><div>bootsect.bak
  5. </div><div>autorun.inf
  6. </div><div>thumbs.db
  7. </div><div>iconcache.db
  8. </div>
复制代码


以下文件类型将被标记(extflag),加密阶段将对被标记文件进行整体分段加密。

  1. <div>.rar
  2. </div><div>.zip
  3. </div><div>.7z
  4. </div><div>.ckp
  5. </div><div>.dacpac
  6. </div><div>.db
  7. </div><div>.db-shm
  8. </div><div>.db-wal
  9. </div><div>.db3
  10. </div><div>.dbf
  11. </div><div>.dbc
  12. </div><div>.dbs
  13. </div><div>.dbt
  14. </div><div>.dbv
  15. </div><div>.frm
  16. </div><div>.mdf
  17. </div><div>.mrg
  18. </div><div>.mwb
  19. </div><div>.myd
  20. </div><div>.ndf
  21. </div><div>.qry
  22. </div><div>.sdb
  23. </div><div>.sdf
  24. </div><div>.sql
  25. </div><div>.sqlite
  26. </div><div>.sqlite3
  27. </div><div>.sqlitedb
  28. </div><div>.tmd
  29. </div>
复制代码

7.        文件加密方式
    加密文件时使用一个IO完成端口专门进行数据处理,每个文件处理时传递的数据为0x40068字节,结构及偏移量如下:

  1. <div>+0x00: struct _OVERLAPPE
  2. </div><div>++0x00:Internal
  3. </div><div>++0x04:InternalHigh
  4. </div><div>++0x08:Offset(文件偏移值低位)
  5. </div><div>++0x0C:OffsetHigh(文件偏移值高位)
  6. </div><div>++0x10:hEvent
  7. </div><div>+0x14:0
  8. </div><div>+0x18:文件原始大小LowPart
  9. </div><div>+0x1C:文件原始大小HighPart
  10. </div><div>+0x20:文件对象句柄hFile
  11. </div><div>+0x24:数据处理指令,初始为4
  12. </div><div>1:        对读取数据片段进行AES CBC加密,并修改IV为加密数据尾部16字节,下一指令为5(extflag为1)或者2(extflag为0或是文件已读取至尾部);
  13. </div><div>2:        文件重命名,关闭当前文件句柄,等待下一个文件处理;
  14. </div><div>3:        无操作,在写入勒索信文件时被指定;
  15. </div><div>4:        生成解密相关的尾部数据,追加于文件尾部,下一步指令6;
  16. </div><div>5:        继续读取原文件数据片段,下一指令1;
  17. </div><div>6:        从原文件头部开始读取数据片段到缓冲区,下一步指令1;
  18. </div><div>+0x28:已加密数据长度LowPart,初始为0
  19. </div><div>+0x2C:已加密数据长度HighPart,初始为0
  20. </div><div>+0x30:extflag(0/1),是否命中指定后缀名
  21. </div><div>+0x34:文件读写缓冲区(0x40000字节)
  22. </div><div>+0x40034:AES128密钥Key,16字节随机值
  23. </div><div>+0x40044:AES128初始IV,16字节随机值
  24. </div>
复制代码


    其中extflag即为之前在后缀名匹配时被标记的指定类型的文件,主要包含数据库、压缩包等常见的重要数据文件类型。
加密方式主要是两种:
(1)        分段加密整个文件,extflag为1时或是文件大小不大于0x40000字节(256KB)时,每次读写位置增加指定偏移量(根据文件大小计算,大于0x40000),然后加密该位置的256KB内容;
(2)        部分加密,extflag为0且文件大于256KB,加密文件头部256KB。

360社区

360社区


    文件加密算法使用AES128的CBC模式。每个文件的密钥Key和IV都重新随机生成。对于支持AES-NI指令集的,使用AES-NI指令进行加密,以提高执行速度;否则,仍按传统代码方式进行计算。Lockbit将解密和文件验证所需的数据追加于文件尾部,包含如下信息:
  • 源文件尾部16字节的头部数据,数据字节数为 (16 - filesize % 16) % 16,例外是当extflag为0且文件大于256KB时,常为0;
  • 由用户RSA-2048公钥加密的AES密钥Key和IV共32字节,加密后结果0x100字节;
  • 经过攻击者RSA公钥pk_attacker加密后的sk_user(用户RSA私钥),数据共0x500字节;
  • pk_attacker前16字节

以只加密文件头部256KB的方式为例,文件加密流程和加密后文件结构如下图:

360社区

360社区


8.        勒索信释放 & 桌面背景修改
    Lockbit在每隔被加密的目录下释放一封勒索信Restore-My-Files.txt,文件全部加密完成后,程序在桌面释放hta文件LockBit-note.hta,并为其创建注册表启动项,然后运行,弹出勒索窗口以提醒用户。
Restore-My-Files.txt

All your important files are encrypted!
Any attempts to restore your files with the thrid-party software will be fatal for your files!
RESTORE YOU DATA POSIBLE ONLY BUYING private key from us.
There is only one way to get your files back:

1) Through a standard browser(FireFox, Chrome, Edge, Opera)
| 1. Open link http://lockbit-decryptor.top/?A57BE5697721472BBA04A09A2749C839
| 2. Follow the instructions on this page


2) Through a Tor Browser - recommended
| 1. Download Tor browser - https://www.torproject.org/ and install it.
| 2. Open link in TOR browser - http://lockbitks2tvnmwk.onion/?A57BE5697721472BBA04A09A2749C839
  This link only works in Tor Browser!
| 3. Follow the instructions on this page


###  Attention! ###
# lockbit-decryptor.top may be blocked. We recommend using a Tor browser to access the site
# Do not rename encrypted files.
# Do not try to decrypt using third party software, it may cause permanent data loss.
# Decryption of your files with the help of third parties may cause increased price(they add their fee to our).
# Tor Browser may be blocked in your country or corporate network. Use https://bridges.torproject.org or use Tor Browser over VPN.
# Tor Browser user manual https://tb-manual.torproject.org/about

LockBit-note.hta

360社区

360社区


桌面背景

360社区

360社区



9.        自我删除
执行如下命令实现自我删除。
  1. /C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288<\path\to\Lockbit.exe> & Del /f /q<\path\to\Lockbit.exe>
复制代码



IOC

HASH
0f890d99d7a89506db76866f4a93b771

有奖活动|你眼中的360手机卫士反诈中心是什么样?

共 2 个关于Lockbit2.0勒索病毒样本分析的回复 最后回复于 2021-10-20 17:59

评论

直达楼层

TelMeo LV2.下士 发表于 2021-8-11 16:47 | 显示全部楼层 | 私信
既然这些密钥都能拿到,请问这个能解吗?我中了这个毒,用“360解密大师1.0.2.1590” 执行,提示未发现任何被加密文件。请问是要如何操作?
360fans_gL8MK1 有结果了吗 
2021-10-9 10:37回复
防勒索病毒工程师
提示: 作者被禁止或删除 内容自动屏蔽

2021-8-15 17:34回复
360fans_3zjNDo LV1.上等兵 发表于 2021-10-20 17:59 | 显示全部楼层 | 私信
我这里也中了这样差不多的病毒   
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Potato 产品答疑师

粉丝:9 关注:0 积分:8110

精华:0 金币:8139 经验:5275

最后登录时间:2021-12-7

私信 加好友

最新活动

可视门铃

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,了解最新活动,抽锦鲤大奖,还有在线客服小姐姐等你来撩哦~

        快速回复 返回顶部 返回列表