Lockbit2.0勒索病毒样本分析

相关阅读：
Lockbit勒索病毒家族详情
LockBit3.0勒索病毒样本分析

一、概述    此次分析的勒索病毒为Lockbit，该病毒使用PECompact进行加壳，同时使用多种反调试手段和字符串运行时解密、修改进程模块名等方式进行反分析。加密方式依旧采用常见的RSA+AES组合。
    程序支持传入参数进行测试：Lockbit.exe [path]。

二、代码分析
  Lockbit执行过程中，会创建一个名为Lockbit Ransom的隐藏窗口记录执行流程，并且注册热键shift+F1显示，F1隐藏。

1.        CIS地区避过
    程序通过系统用户使用语言检测并避过独立国家联合体（CIS）地区国家：

1. <div>2092：阿塞拜疆 - 西里尔文
   
2. </div><div>1068：阿塞拜疆语 - 拉丁语
   
3. </div><div>1067：亚美尼亚语
   
4. </div><div>1059：白俄罗斯语
   
5. </div><div>1079：格鲁吉亚语
   
6. </div><div>1087：哈萨克语
   
7. </div><div>1088：吉尔吉斯语 - 西里尔文
   
8. </div><div>2073：俄语 - 摩尔多瓦
   
9. </div><div>1049：俄语
   
10. </div><div>1064：塔吉克
    
11. </div><div>1090：土库曼斯坦
    
12. </div><div>2115：乌兹别克语 - 西里尔文
    
13. </div><div>1091：乌兹别克语 - 拉丁语
    
14. </div><div>1058：乌克兰
    
15. </div>

复制代码

2.        UAC Bypass & 自启动
    Lockbit通过当前执行进程令牌判断当前进程令牌是否具备管理员权限。如果不具备但进程令牌属于管理员组且系统版本大于Windows XP，则使用COM接口进行提升权限重新启动进程。

    然后创建互斥量Global\\{BEF590BE-11A6-442A-A85B-656C1081E04C}，以保证程序单例执行。在开始加密前，为防止中途中断导致加密失败，Lockbit为自身创建注册表自启动项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\XO1XADpO01，系统所有目标文件加密完成删除该键。 或许是出于防止自身进程被扫描，程序接着会设置当前进程对象的访问权限，禁止其他所有用户对当前进程对象的数据读取。

3.        结束指定进程&服务
    启用当前进程的SeDebugPrivilege权限，然后结束指定服务及其依赖项。这些服务包括：

wrapper、DefWatch、ccEvtMgr、ccSetMgr、SavRoam、Sqlservr、sqlagent、sqladhlp、Culserver、RTVscan、sqlbrowser、SQLADHLP、QBIDPService、Intuit.QuickBooks.FCS、QBCFMonitorService、sqlwriter、msmdsrv、tomcat6、zhudongfangyu、vmware-usbarbitator64、vmware-converter、dbsrv12、dbeng8、MSSQL$MICROSOFT##WID、MSSQL$VEEAMSQL2012、SQLAgent$VEEAMSQL2012、SQLBrowser、SQLWriter、FishbowlMySQL、MSSQL$MICROSOFT##WID、MySQL57、MSSQL$KAV_CS_ADMIN_KIT、MSSQLServerADHelper100、SQLAgent$KAV_CS_ADMIN_KIT、msftesql-Exchange、MSSQL$MICROSOFT##SSEE、MSSQL$SBSMONITORING、MSSQL$SHAREPOINT、MSSQLFDLauncher$SBSMONITORING、MSSQLFDLauncher$SHAREPOINT、SQLAgent$SBSMONITORING、SQLAgent$SHAREPOINT、QBFCService、QBVSS、YooBackup、YooIT、vss、sql、svc$、MSSQL、MSSQL$、memtas、mepocs、sophos、veeam、backup、bedbg、PDVFSService、BackupExecVSSProvider、BackupExecAgentAccelerator、BackupExecAgentBrowser、BackupExecDiveciMediaService、BackupExecJobEngine、BackupExecManagementService、BackupExecRPCService、MVArmor、MVarmor64、stc_raw_agent、VSNAPVSS、VeeamTransportSvc、VeeamDeploymentService、VeeamNFSSvc、AcronisAgent、ARSM、AcrSch2Svc、CASAD2DWebSvc、CAARCUpdateSvc、WSBExchange、MSExchange、MSExchange$

结束指定进程，解除数据文件占用：

wxServer、wxServerView、Sqlservr、RAgui、supervise、Culture、RTVscan、Defwatch、sqlbrowser、winword、QBW32、QBDBMgr、qbupdate、QBCFMonitorService、axlbridge、QBIDPService、httpd、fdlauncher、MsDtSrvr、tomcat6、java、360se、360doctor、wdswfsafe、fdhost、GDscan、ZhuDongFangYu、QBDBMgrN、sqlwriter、mysqld、AutodeskDesktopApp、acwebbrowser、Creative Cloud、Adobe Desktop Service、CoreSync、Adobe CEF Helper、node、AdobeIPCBroker、sync-taskbar、sync-worker、InputPersonalization、AdobeCollabSync、BrCtrlCntr、BrCcUxSys、SimplyConnectionManager、Simply.SystemTrayIcon、fbguard、fbserver、ONENOTEM、YooIT、wsa_service、koaly-exp-engine-service、TeamViewer_Service、TeamViewer、tv_w32、tv_x64、TitanV、Ssms、notepad、RdrCEF、sam、sql、oracle、ocssd、dbsnmp、synctime、agntsvc、isqlplussvc、xfssvccon、mydesktopservice、ocautoupds、encsvc、firefox、tbirdconfig、mydesktopqos、ocomm、dbeng50、sqbcoreservice、excel、infopath、msaccess、mspub、onenote、outlook、powerpnt、steam、thebat、thunderbird、visio、winword、wordpad、bedbh、vxmon、benetns、bengien、pvlsvr、beserver、raw_agent_svc、vsnapvss、CagService、DellSystemDetect、EnterpriseClient、VeeamNFSSvc、VeeamTransportSvc、VeeamDeploymentSvc

4.        删除卷影
    Lockbit通过清空回收站和删除卷影的方式清除可能的备份数据。删除卷影时，以runas方式执行以下命令：

1. <div>/c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
   
2. </div><div>/c vssadmin delete shadows /all /quiet
   
3. </div><div>/c bcdedit /set {default} recoveryenabled No
   
4. </div><div>/c bcdedit /set {default} bootstatuspolicy ignoreallfailures
   
5. </div><div>/c wbadmin DELETE SYSTEMSTATEBACKUP
   
6. </div><div>/c wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
   
7. </div><div>/c wmic SHADOWCOPY /nointeractive
   
8. </div><div>/c wevtutil cl security
   
9. </div><div>/c wevtutil cl system
   
10. </div><div>/c wevtutil cl application
    
11. </div>

复制代码

5.        用户RSA密钥对生成
    Lockbit运行后会为用户生成一对RSA-2048公私钥，然后使用内置于程序中的攻击者RSA-2048公钥对用户私钥进行加密，加密结果大小为0x500字节。病毒会将该结果写入注册表键HKCU\SoftWare\LockBit\full，而未被加密的用户公钥则会被写入到HKCU\SoftWare\LockBit\Public。如果Lockbit由于某些原因中止重启，将直接从两个注册表中读取密钥数据，从而保证每台机器仅一对密钥。

6.        搜索文件进行加密
    在开始搜索可加密文件前，程序会先将未挂载的非系统使用的固定磁盘、可移动磁盘进行挂载，从’Z’递减作为挂载盘符，已彻底地加密机器上的数据。

    搜索文件时，程序主要对三种目标进行枚举：
    （1）        对本地ip列表逐个尝试连接，访问其文件；
    （2）        网络资源枚举；
    （3）        本地磁盘枚举。
    不过程序对于目录/文件的过滤方式都是相同的。会避过以下文件夹：

1. <div>$windows.~bt
   
2. </div><div>intel
   
3. </div><div>msocache
   
4. </div><div>$recycle.bin
   
5. </div><div>$windows.~ws
   
6. </div><div>tor browser
   
7. </div><div>boot
   
8. </div><div>system volume information
   
9. </div><div>perflogs
   
10. </div><div>google
    
11. </div><div>application data
    
12. </div><div>windows
    
13. </div><div>windows.old
    
14. </div><div>appdata
    
15. </div><div>Windows nt
    
16. </div><div>Msbuild
    
17. </div><div>Microsoft
    
18. </div><div>All users
    
19. </div><div>mozilla
    
20. </div><div>Microsoft.NET
    
21. </div><div>microsoft shared
    
22. </div><div>Internet Explorer
    
23. </div><div>common files
    
24. </div><div>opera
    
25. </div><div>Windows Journal
    
26. </div>

复制代码

根据文件后缀避过的文件类型包括：

1. .theme、.icns、.lock、.rdp、.lnk、.ico、.hlp、.sys、.idx、.ini、.dll、.reg、.mp3、.key、.ics、.msu、.ps1、.spl、.msc、.rom、.bat、.wpx、.drv、.shs、.hlp、.bin、.rtp、.prf、.hta、.mod、.cpl、.mpa、.ocx、.nls、.com、.msp、.msi、.adv、.ani、.exe、.cmd、.386、.lockbit、.diagcfg、.diagcab、.diagpkg、.msstyles
   

复制代码

避过如下文件名：

1. <div>Restore-My-Files.txt
   
2. </div><div>ntldr
   
3. </div><div>ntuser.dat.log
   
4. </div><div>bootsect.bak
   
5. </div><div>autorun.inf
   
6. </div><div>thumbs.db
   
7. </div><div>iconcache.db
   
8. </div>

复制代码

以下文件类型将被标记（extflag），加密阶段将对被标记文件进行整体分段加密。

1. <div>.rar
   
2. </div><div>.zip
   
3. </div><div>.7z
   
4. </div><div>.ckp
   
5. </div><div>.dacpac
   
6. </div><div>.db
   
7. </div><div>.db-shm
   
8. </div><div>.db-wal
   
9. </div><div>.db3
   
10. </div><div>.dbf
    
11. </div><div>.dbc
    
12. </div><div>.dbs
    
13. </div><div>.dbt
    
14. </div><div>.dbv
    
15. </div><div>.frm
    
16. </div><div>.mdf
    
17. </div><div>.mrg
    
18. </div><div>.mwb
    
19. </div><div>.myd
    
20. </div><div>.ndf
    
21. </div><div>.qry
    
22. </div><div>.sdb
    
23. </div><div>.sdf
    
24. </div><div>.sql
    
25. </div><div>.sqlite
    
26. </div><div>.sqlite3
    
27. </div><div>.sqlitedb
    
28. </div><div>.tmd
    
29. </div>

复制代码

7.        文件加密方式
    加密文件时使用一个IO完成端口专门进行数据处理，每个文件处理时传递的数据为0x40068字节，结构及偏移量如下：

1. <div>+0x00: struct _OVERLAPPE
   
2. </div><div>++0x00：Internal
   
3. </div><div>++0x04：InternalHigh
   
4. </div><div>++0x08：Offset（文件偏移值低位）
   
5. </div><div>++0x0C：OffsetHigh（文件偏移值高位）
   
6. </div><div>++0x10：hEvent
   
7. </div><div>+0x14：0
   
8. </div><div>+0x18：文件原始大小LowPart
   
9. </div><div>+0x1C：文件原始大小HighPart
   
10. </div><div>+0x20：文件对象句柄hFile
    
11. </div><div>+0x24：数据处理指令，初始为4
    
12. </div><div>1：        对读取数据片段进行AES CBC加密，并修改IV为加密数据尾部16字节，下一指令为5（extflag为1）或者2（extflag为0或是文件已读取至尾部）；
    
13. </div><div>2：        文件重命名，关闭当前文件句柄，等待下一个文件处理；
    
14. </div><div>3：        无操作，在写入勒索信文件时被指定；
    
15. </div><div>4：        生成解密相关的尾部数据，追加于文件尾部，下一步指令6；
    
16. </div><div>5：        继续读取原文件数据片段，下一指令1；
    
17. </div><div>6：        从原文件头部开始读取数据片段到缓冲区，下一步指令1；
    
18. </div><div>+0x28：已加密数据长度LowPart，初始为0
    
19. </div><div>+0x2C：已加密数据长度HighPart，初始为0
    
20. </div><div>+0x30：extflag（0/1），是否命中指定后缀名
    
21. </div><div>+0x34：文件读写缓冲区（0x40000字节）
    
22. </div><div>+0x40034：AES128密钥Key，16字节随机值
    
23. </div><div>+0x40044：AES128初始IV，16字节随机值
    
24. </div>

复制代码

    其中extflag即为之前在后缀名匹配时被标记的指定类型的文件，主要包含数据库、压缩包等常见的重要数据文件类型。
加密方式主要是两种：
（1）        分段加密整个文件，extflag为1时或是文件大小不大于0x40000字节（256KB）时，每次读写位置增加指定偏移量（根据文件大小计算，大于0x40000），然后加密该位置的256KB内容；
（2）        部分加密，extflag为0且文件大于256KB，加密文件头部256KB。

    文件加密算法使用AES128的CBC模式。每个文件的密钥Key和IV都重新随机生成。对于支持AES-NI指令集的，使用AES-NI指令进行加密，以提高执行速度；否则，仍按传统代码方式进行计算。Lockbit将解密和文件验证所需的数据追加于文件尾部，包含如下信息：

• 源文件尾部16字节的头部数据，数据字节数为 (16 - filesize % 16) % 16，例外是当extflag为0且文件大于256KB时，常为0；
• 由用户RSA-2048公钥加密的AES密钥Key和IV共32字节，加密后结果0x100字节；
• 经过攻击者RSA公钥pk_attacker加密后的sk_user（用户RSA私钥），数据共0x500字节；
• pk_attacker前16字节
  

以只加密文件头部256KB的方式为例，文件加密流程和加密后文件结构如下图：

8.        勒索信释放 & 桌面背景修改
    Lockbit在每隔被加密的目录下释放一封勒索信Restore-My-Files.txt，文件全部加密完成后，程序在桌面释放hta文件LockBit-note.hta，并为其创建注册表启动项，然后运行，弹出勒索窗口以提醒用户。
Restore-My-Files.txt

All your important files are encrypted!
Any attempts to restore your files with the thrid-party software will be fatal for your files!
RESTORE YOU DATA POSIBLE ONLY BUYING private key from us.
There is only one way to get your files back:

1) Through a standard browser(FireFox, Chrome, Edge, Opera)
| 1. Open link http://lockbit-decryptor.top/?A57BE5697721472BBA04A09A2749C839
| 2. Follow the instructions on this page


2) Through a Tor Browser - recommended
| 1. Download Tor browser - https://www.torproject.org/ and install it.
| 2. Open link in TOR browser - http://lockbitks2tvnmwk.onion/?A57BE5697721472BBA04A09A2749C839
  This link only works in Tor Browser!
| 3. Follow the instructions on this page


###  Attention! ###
# lockbit-decryptor.top may be blocked. We recommend using a Tor browser to access the site
# Do not rename encrypted files.
# Do not try to decrypt using third party software, it may cause permanent data loss.
# Decryption of your files with the help of third parties may cause increased price(they add their fee to our).
# Tor Browser may be blocked in your country or corporate network. Use https://bridges.torproject.org or use Tor Browser over VPN.
# Tor Browser user manual https://tb-manual.torproject.org/about

LockBit-note.hta

桌面背景

9.        自我删除
执行如下命令实现自我删除。

1. /C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288<\path\to\Lockbit.exe> & Del /f /q<\path\to\Lockbit.exe>

复制代码

IOC

HASH
0f890d99d7a89506db76866f4a93b771

既然这些密钥都能拿到，请问这个能解吗？我中了这个毒，用“360解密大师1.0.2.1590” 执行，提示未发现任何被加密文件。请问是要如何操作？

我这里也中了这样差不多的病毒   

所以，电脑系统语言改成独联体国家的语言，或者资料全部存放在避开的文件夹下 是不是可以免受勒索病毒加密了