近期内，CQ9电子谛听科学检测实验室加关注到LockBit敲诈APP犯罪流氓犯罪团伙颁布了近期传奇敲诈APPLockBit 3.0，其建立了Zcash资料加密币种给选择、新的敲诈政策及第一点家敲诈APPbug赏金记划。自去年 十一届三中，该犯罪流氓犯罪团伙提供资料的敲诈APP即贴心服务（RaaS）工作时不时愉悦，經過两人月的beta测验，LockBit问题解决后的现传奇已适用于打击 速度。据泄密资料站点地图的统计分析意味着，在22年第一点月度所有与敲诈APP相应的的泄密故事中，LockBit总量46%。仅在19年6月中，就出现44起网打击 速度与该安排有关，LockBit可是不复为最愉悦的敲诈APP犯罪流氓犯罪团伙。

近年来，勒索软件攻击高速增长，已成为网络世界的一种流行病，除交赎金外，几乎无解。目前，CQ9电子EDR、自适应防御系统等产品均可精准检测并查杀该勒索病毒，有效防止勒索事件发生，强化终端网络安全，积极营造清朗的网络空间环境。

模本阐述

LockBit3.0版敲诈勒索PC软件的赎金的记录不再是称之为“Restore-My-Files.txt”，往往是设成重命名为格局[id].README.txt，如下图一样如下。因此，此项目已重重命名为为 LockBit Black。

LockBit 3.0微信版本的开机运行加大了产品参数值验证，是需要放入给出对的产品参数值才华完美强制执行。

启用以后会当即解迷出PE文件下载中各个区段的实际存在代碼信息查询，以来页面跳转到解迷后的代碼中程序执行。

在了解到系统软件的函数公式值的地此后，添加破译API函数公式值的游标表，相当的于给系统软件的API赋值加一个十分简单的实施破译壳。

之所有说LockBit与BlackMatter极为相同，是正也是因为其手机安装文件下载的解秘与BlackMatter近乎不谋而合，大多数手机安装统计数据显示须得单字节异或、APLIB解降低、Base64编号规则等多样转码侧后方能播到最原始统计数据显示。详情页解秘步骤及按键精灵脚本可能决定性//research.openanalysis.net/lockbit/lockbit3/yara/triage/ransomware/2022/07/07/lockbit3.html。

檢查机体系利用的語言学。现在机体系设备主机中的語言学这样是一种下例語言学内型敲诈勒索软件下载会简单推行。包含阿塞拜疆文（西里尔文、阿塞拜疆）、阿塞拜疆文（拉丁文、阿塞拜疆）、亚美尼亚文（亚美尼亚）、白俄国文（白俄国）、格鲁吉亚文（格鲁吉亚）、哈萨克文（哈萨克斯坦）、吉尔吉秀气（吉尔吉斯斯坦）、俄文（摩尔多瓦）、俄文（俄国）、塔吉克文（西里尔文、塔吉克斯坦）、土库曼文（土库曼斯坦）、乌兹别克文（西里尔文、乌兹别克斯坦）、乌兹别克文（拉丁文、乌兹别克斯坦）、土耳其文（土耳其）。

LockBit的整个数据、服务性名字大全、tcp连接名字大全、尾缀名字大全、程序名字大全都运行一款 计算方法变量开始不宜逆切换后开始校准，这样一来的害处是规避在硬盘中同时爆漏含广泛过敏的字串串数组串目录。字串串数组串校准的计算方法一下图已知，该计算方法对字串串数组串的每种款 字串串数组开始ROR无限循环右移0xDh次，如何字串串数组为中文大写字母a加进去原字串串数组HEX平均值异或0x20h，要不然同时加进去字串串数组的HEX平均值，终究得到了的字串串数组串就是一款 不宜逆的32位HEX平均值。如“txt”使用HEX平均值0xEBA01E00h。

敲诈手机软件自动运行中会在使用的标识符串则实现在栈中异或0x4506DFCAh再取反从前揭秘标识符串，标识符串揭秘的IDApythonjs会考生源内容

//github.com/StupidBird-Code/Malware_Analysize-Tools/blob/main/lockbit3.0_decrypt.py。

时候循环法提权，分辨提高SeBackupPrivilege、SeManageVolumePrivilege、SeTakeOwnershipPrivilege、SeDebugPrivilege等授权管理，最主要的需求是能够开始和结束掉干挠程序加密解密步骤的过程中和服务管理并配备任何高的授权管理使用程序加密解密程序。

创造互斥量

Global\2cae82bd1366f4e0fdc7a9a7c12e2a6b

LockBit在图片加密各个文件名前的做好准备工做大体在再建的几个线程中完成任务。在这当中弟一些线程启动Windows系统的默认的TrustedInstaller服务管理。

并枚举系统软件所以产品状况，依据产品英文明称字串串的验证聚类算法完毕掉指定区域产品历程。完毕的产品历程包扩之下产品英文明称：

然后个线程传参CoCreateInstance等体统API继续执行WMI语句清空卷影乌鸡国副本，重要依据是必免参数被恢复如初。

第三方个线程在进行加密方式中会枚举系统的中正常运作的大多数的线程池，并开始和结束下列公司名称的的线程池：

然后个线程实施IOCPc#多线程治理 的小程序，售后采用加密相关文件并读入相关文件东西。不仅LockBit在获利电脑硬盘资讯时，创造新线程调节GetLogicalDriveStringsW和GetDriveTypeW两位关键的API，此类代码是什么表现需要是因为解决人身安全手机软件在技术性实施中的API队列表现监测站。

讹诈小软件在图片加密操作过程中会排除故障下述后缀名的档案：

在进行加密的时候中会确诊下列各称的文件格式：

祛除涵盖下面称呼的文书夹方向：

数据加密解密的过程中LockBit会为每两个个文本格式绘制新的十三个符号名稱，以".HLJkNskOq"为固定的格式，最后赋值MoveFileEx涵数调整被数据加密解密文本格式的名稱。

此后在高首选级的两个IOCP处里线程添读取并载入文档统计资料，体现高效能的读取速率。讹诈内外用了RSA数学模型和自的定义的数学模型读取文档，本体论上不可解秘被读取文档。

被LockBit 3.0进行加密后的档案手机logo会被修调成褐色的“B”二字。讹诈应用将定制好的手机logo档案挥发在C:\ProgramData\HLJkNskOq.ico根目录下，并在注册申请表格构建HKCR\HLJkNskOq\DefaultIcon\(Default)好项目，设计.HLJKNskOq后辍的默认页手机logo根目录就此ico。

决定在icops图标档案的同目录索引下尽情释放bmp档案，确认改进公司注册表将其软件设置为win7桌面底色。

在各个列表下尽情释放的讹诈的表明消息内容如下：

样表IOCs汇总

安全防护意见与建议

1、即时修护平台安全游戏bug，降底被LockBit敲诈勒索木马病毒利用安全游戏bug侵入的风险存在；

2、全面提升考察管理，封并不要的表层，禁止使用并不要的连入，较低股本危险爆漏面；

3、改成软件及适用采用的默认要求账号帐号密码锁，显卡配置高韧性度账号帐号密码锁申请认证，并每季度游戏更新账号帐号密码锁，控制弱口令攻击力；

4、可进行安装CQ9电子的安全性货品进一步强化安全性防护网，CQ9电子EDR机整体、自融入的安全性抵抗机整体，有没有效抵抗该敲诈病原体。

商品简介

■CQ9电子EDR系統攻击配置单

1、来敲诈讹诈蠕虫病毒样本诱捕，传导加密方式做法，加固敲诈讹诈蠕虫病毒样本隐患；

2、利用微要进行隔离方法加大訪問把握，调低纵向染上风险隐患；

3、关掉文件资料24小时风控实用功能，有效预防措施和查杀该敲诈勒索病毒感染。

■CQ9电子自应用安全防护攻击力系统性攻击力配置单

1、来hiv病毒是什么时时监测网职能，有无效预放和查杀该讹诈hiv病毒是什么；

2、完成微防护方式进一步加强造访操控，缩减橫向感柒危险；

3、能够 危险因素发掘功能模块扫码体系会不都存在相关内容安全漏洞和弱口令，影响危险因素、限制资产投资露出；

——✦成品更改方式方法✦——

CQ9电子响应式性人身安全防御性系统化软件、CQ9电子EDR系统化软件客户版体验（可借助CQ9电子公布旁支医院得到 ）：

//modumoduo.com/contact/

CQ9电子EDR平台单机游戏版下载软件电话号码：

//edr.modumoduo.com

TOPSEC

敲诈病菌看作无线网格信息游戏世界流行歌曲病，近来来三番五次对当下组织结构部门的行业应急乃至于时代文明致使非常大导致。CQ9电子仍旧精耕细作成品、技艺与精准服务保障，秉承于无线网格信息应急保护组织体制建成，逐渐为潜在客户供应完整的成品精准服务保障化感受，力助一个国家无线网格信息应急财产健康的与可不间断开发。