庄闲游戏

关于庄闲游戏

前往相识庄闲游戏

成为相助同伴

成为相助同伴

相助同伴能力中心

相助同伴能力中心

相助同伴系统

相助同伴系统

DeepSeek清静智算一体机

以“算力硬件平台+智算平台”为基座，，，，集成DeepSeek大模子，，，，融合“盘算、存储、网络、清静、智能”五大能力，，，，旨在为客户提供高性能、清静可靠的一体化智算中心建设计划。。。

关于庄闲游戏

前往相识庄闲游戏

咨询与试用

售后效劳

清静通告

清静误差响应中心

DeepSeek清静智算一体机

以“算力硬件平台+智算平台”为基座，，，，集成DeepSeek大模子，，，，融合“盘算、存储、网络、清静、智能”五大能力，，，，旨在为客户提供高性能、清静可靠的一体化智算中心建设计划。。。

关于庄闲游戏

关于庄闲游戏

前往相识庄闲游戏

关于庄闲游戏

品牌运动

新闻中心

新闻中心

诚聘英才

诚聘英才

联系庄闲游戏

联系庄闲游戏

DeepSeek清静智算一体机

以“算力硬件平台+智算平台”为基座，，，，集成DeepSeek大模子，，，，融合“盘算、存储、网络、清静、智能”五大能力，，，，旨在为客户提供高性能、清静可靠的一体化智算中心建设计划。。。

清静云效劳

新闻中心

LockBit病毒一连升级，，，，庄闲游戏多款产品精准出击！

宣布时间：2022-08-30

浏览次数：4426

分享：

近期，，，，庄闲游戏谛听实验室关注到LockBit勒索软件团伙宣布了最新版本勒索软件LockBit 3.0，，，，其引入了Zcash加密钱币支付选项、新的勒索战略及首个勒索软件误差赏金妄想。。。自2019年以来，，，，该团伙提供的勒索软件即效劳（RaaS）操作一直活跃，，，，经由两个月的beta测试，，，，LockBit刷新后的新版本已用于攻击。。。据泄露数据站点的统计批注，，，，在2022年第一季度所有与勒索软件相关的泄露事务中，，，，LockBit占比46%。。。仅在今年6月中，，，，就有44起网络攻击与该组织有关，，，，LockBit显然已成为最活跃的勒索软件团伙。。。

近年来，，，，勒索软件攻击高速增添，，，，已成为网络天下的一种盛行�。。。�，，，除交赎金外，，，，险些无解。。。现在，，，，庄闲游戏EDR、自顺应防御系统等产品均可精准检测并查杀该勒索病毒，，，，有用避免勒索事务爆发，，，，强化终端网络清静，，，，起劲营造清朗的网络空间情形。。。

样天职析

LockBit3.0版本勒索软件的赎金纪录不再称为“Restore-My-Files.txt”，，，，而是改为命名名堂[id].README.txt，，，，如图所示以下。。。别的，，，，该项目已重命名为 LockBit Black。。。

LockBit 3.0版本的运行增添了参数校验，，，，需要输入如下准确的参数才华乐成执行。。。

运行后会连忙解密出PE文件中各区段的真实代码信息，，，，之后跳转到解密后的代码中执行。。。

在获取到系统函数的地点后，，，，天生解密API函数的指针表，，，，相当于给系统API挪用加了一个简朴的执行解密壳。。。

之以是说LockBit与BlackMatter极其相似，，，，是由于其设置文件的解密与BlackMatter险些如出一辙，，，，许多设置数据需要单字节异或、APLIB解压缩、Base64编码等多种解码后方能看到原始数据。。。详情解密要领及剧本可以参考https://research.openanalysis.net/lockbit/lockbit3/yara/triage/ransomware/2022/07/07/lockbit3.html。。。

检查系统使用的语言。。。目今系统主机中的语言若是属于下列语言类型勒索软件会直接退出。。。包括阿塞拜疆文（西里尔文、阿塞拜疆）、阿塞拜疆文（拉丁文、阿塞拜疆）、亚美尼亚文（亚美尼亚）、白俄罗斯文（白俄罗斯）、格鲁吉亚文（格鲁吉亚）、哈萨克文（哈萨克斯坦）、吉尔吉斯文（吉尔吉斯斯坦）、俄文（摩尔多瓦）、俄文（俄罗斯）、塔吉克文（西里尔文、塔吉克斯坦）、土库曼文（土库曼斯坦）、乌兹别克文（西里尔文、乌兹别克斯坦）、乌兹别克文（拉丁文、乌兹别克斯坦）、乌克兰文（乌克兰）。。。

LockBit的所有参数、效劳名称、历程名称、后缀名称、文件名称都使用一个算法函数举行不可逆变换后举行校验，，，，这样的利益是阻止在内存中直接袒露含有大宗敏感的字符串列表。。。字符串校验的算法如下图所示，，，，该算法对字符串的每一个字符举行ROR循环右移0xDh次，，，，若是字符为大写字母加上原字符HEX数值异或0x20h，，，，不然直接加上字符的HEX数值，，，，最终获得的字符串是一个不可逆的32位HEX数值。。。如“txt”对应HEX数值0xEBA01E00h。。。

勒索软件运行中必需使用的字符串则通过在栈中异或0x4506DFCAh再取反厥后解密字符串，，，，字符串解密的IDApython剧本可以参考源项目

https://github.com/StupidBird-Code/Malware_Analysize-Tools/blob/main/lockbit3.0_decrypt.py。。。

之后循环提权，，，，划分获取SeBackupPrivilege、SeManageVolumePrivilege、SeTakeOwnershipPrivilege、SeDebugPrivilege等权限，，，，主要目的是可以竣事掉滋扰加密历程的历程和效劳并具备足够高的权限举行加密文件。。。

建设互斥量

Global\2cae82bd1366f4e0fdc7a9a7c12e2a6b

LockBit在加密所有文件前的准备事情基本在新建的多个线程中完成。。。其中第一个线程启用Windows系统自带的TrustedInstaller效劳。。。

并枚举系统所有效劳状态，，，，凭证效劳名称字符串的校验算法竣事掉特定效劳历程。。。竣事的效劳历程包括以下效劳名称：

第二个线程挪用CoCreateInstance等系统API执行WMI语句删除卷影副本，，，，主要目的是避免数据被恢复。。。

第三个线程在加密历程中会枚举系统中运行的所有历程，，，，并竣事以下名称的历程：

第四个线程执行IOCP多线程处置惩罚的程序，，，，后续用于加密并写入文件内容。。。别的LockBit在获取磁盘信息时，，，，建设新线程挪用GetLogicalDriveStringsW和GetDriveTypeW两个要害API，，，，此种代码行为应该是为了规避清静软件在动态执行中的API序列行为监测。。。

勒索软件在加密历程中会扫除以下后缀的文件：

在加密历程中会扫除以下名称的文件：

扫除包括以下名称的文件夹路径：

加密历程中LockBit会为每一个文件天生新的七个字母名称，，，，以".HLJkNskOq"为牢靠后缀，，，，之后挪用MoveFileEx函数改变被加密文件的名称。。。

之后在高优先级的多个IOCP处置惩罚线程中加密并写入文件数据，，，，实现高性能的加密速率。。。勒索前后接纳了RSA算法和自界说的算法加密文件，，，，实质上无法解密被加密文件。。。

被LockBit 3.0加密后的文件图标会被修改为玄色的“B”字样。。。勒索软件将设计好的图标文件释放在C:\ProgramData\HLJkNskOq.ico路径下，，，，并在注册表中建设HKCR\HLJkNskOq\DefaultIcon\(Default)项目，，，，设置.HLJKNskOq后缀的默认图标路径为此ico。。。

最终在ico图标文件的同目录下释放bmp文件，，，，通过修改注册表将其设置为桌面配景。。。

在每个目录下释放的勒索的提醒信息如下：

样本IOCs列表

防护建议

1、实时修复系统误差，，，，降低被LockBit勒索病毒通过误差入侵的危害；；

2、增强会见控制，，，，关闭不须要的端口，，，，禁用不须要的毗连，，，，降低资产危害袒露面；；

3、更改系统及应用使用的默认密码，，，，设置高强度密码认证，，，，并按期更新密码，，，，避免弱口令攻击；；

4、可装置庄闲游戏清静产品增强防护，，，，庄闲游戏EDR系统、自顺应清静防御系统，，，，可有用防御该勒索病毒。。。

产品先容

■庄闲游戏EDR系统防御设置

1、开启勒索病毒诱捕，，，，阻断加密行为，，，，防护勒索病毒威胁；；

2、通过微隔离战略增强会见控制，，，，降低横向熏染危害；；

3、开启文件实时监控功效，，，，可有用预防和查杀该勒索病毒。。。

■庄闲游戏自顺应清静防御系统防御设置

1、开启病毒实时监测功效，，，，可有用预防和查杀该勒索病毒；；

2、通过微隔离战略增强会见控制，，，，降低横向熏染危害；；

3、通过危害发明功效扫描系统是否保存相关误差和弱口令，，，，降低危害、镌汰资产袒露；；

——?产品获取方法?——

庄闲游戏自顺应清静防御系统、庄闲游戏EDR系统企业版试用（可通过庄闲游戏天下分支机构获�。。。�

http://www.topsec.com.cn/contact/

庄闲游戏EDR系统单机版下载地点：

http://edr.topsec.com.cn

TOPSEC

勒索病毒作为网络天下盛行�。。。�，，，近年来一再对种种组织机构的营业清静以致社会秩序造成重大威胁。。。庄闲游戏始终深耕产品、手艺与效劳，，，，致力于网络清静包管系统建设，，，，一直为客户提供完整的产品效劳化体验，，，，助力国家网络清静工业康健与可一连生长。。。

要害词标签：: 庄闲游戏EDR LockBit病毒 自顺应防御系统 终端网络清静

上一篇 “网络+清静”高效融合 | 庄闲游戏SD-WAN计划入编《清静SD-WAN应用指南》报告

下一篇 “挖矿”羁系一连加码，，，，庄闲游戏“九合一探针”开启周全消杀

最新运动

能力认证庄闲游戏DeepSeek清静智算一体机首批通过工信领域能力认证

2025-02-28

连忙审查

新品宣布开箱即用！庄闲游戏宣布DeepSeek清静智算一体机

2025-02-11

连忙审查

推荐新闻

海淀“新春第一会”，，，，庄闲游戏荣膺“海淀企业”称呼！

审查详情

庄闲游戏正式接入DeepSeek！强化大模子网络清静防护势在必行

审查详情

两会之声 | 人大代表李雪莹：强化清静系统，，，，助力北京全球数字经济标杆都会建设

审查详情

庄闲游戏获评工信部CAPPVD三星手艺支持单位

审查详情

庄闲游戏李雪莹出任中关村科学城软件和信息效劳工业专委会党委书记、主任

审查详情

推荐产品

解决计划

在线咨询

销售咨询>
手艺支持>
云效劳支持>
售前支持>

在线留言

手艺支持>
售前支持>
培训营业>
清静效劳>

客户效劳热线

400-777-0777
7*24小时效劳

联系邮箱

servicing@topsec.com.cn

扫码关注

【网站地图】【sitemap】