LockBit 3.0：新型勒索病毒的威胁分析

关键要点

• LockBit 3.0 与 BlackMatter 勒索病毒有相似之处，采用了多项相似技术。
• 此版本采取“文件删除”技术，通过 .tmp 文件进行覆盖以防止恢复。
• LockBit 3.0 还使用了与 Egregor 勒索病毒相似的解密参数。

最新的 LockBit 勒索病毒版本 LockBit 3.0（又名 LockBit Black）被 Trend Micro 的研究人员发现与
BlackMatter 勒索病毒存在相似性。该版本除了利用 BlackMatter 的特权升级和信息收集技术来确定进程终止所需的 API外，还采用相同的策略来规避分析。根据 Trend Micro 的报告，LockBit 3.0 还使用了与已停止运作的 Egregor 勒索病毒类似的
“-pass” 参数进行主例程解密，并试图避免对独立国家联合体内的系统进行攻击。

根据研究人员的说法，LockBit 3.0 的一个显著特征是其文件删除技术：它并不是通过 cmd.exe
执行批处理文件或命令来执行删除操作，而是通过一个从二进制文件解密后得到的 .tmp 文件进行覆盖。这种方法使得勒索病毒的二进制文件内容被 .tmp
文件覆盖，从而阻碍了恢复和检测。

表格对比

特征 | LockBit 3.0 | BlackMatter | Egregor
—|—|—|—
特权升级技术 | 是 | 是 | 否
文件删除技术 | 采用 .tmp 文件覆盖 | 使用 cmd.exe 进行删除 | 使用 -pass 参数进行解密
避免攻击区域 | 独立国家联合体 | 全球范围 | 全球范围

通过这些行为，可以看出，LockBit 3.0 旨在增强其隐蔽性和攻击效果，对安全领域构成了持续的威胁。需要采取相应措施以防范此类勒索病毒的影响。