LockBit 与大多数勒索黑客团体一样以勒索软件即服务 (RaaS) 模式运行,该组织于 2019 年 9 月首次被观察到,此后发展为了今年最主要的勒索软件团伙,甚至超过了Conti、Hive等其他知名团体。据泄露数据站点的数据统计表明,LockBit占2022年第一季度所有与勒索软件相关的泄露事件的46%。仅在今年6月该组织就与44起网络攻击有关,LockBit显然已经成为最活跃的勒索软件团伙。
LockBit与BlackMatter极其相似,是因为其配置文件的解密与BlackMatter几乎如出一辙,许多配置数据需要单字节异或、APLIB解压缩、Base64编码等多种解码后方能看到原始数据。详情解密方法及脚本可以参考https://research.openanalysis.net/lockbit/lockbit3/yara/triage/ransomware/2022/07/07/lockbit3.html。
勒索软件运行中必须使用的字符串则通过在栈中异或0x4506DFCAh再取反后来解密字符串,字符串解密的IDApython脚本可以参考源项目https://github.com/StupidBird-Code/Malware_Analysize-Tools/blob/main/lockbit3.0_decrypt.py。
该解密字符串IDApython由本人编写,源代码如下:
from idaapi import *