LockBit Ransomware IOCs - Part 2

security IOC

Сжатый файл, прикрепленный к фишинговым письмам, имеет формат [Имя человека].zip и содержит внутри дополнительный сжатый файл. Дополнительный сжатый файл содержит LockBit 2.0, замаскированный под файл изображения и обычный файл Excel. Имя файла распространяемой ransomware - "(Special character)Resume_221112(I’ll show that I’m a hard worker).exe". Ниже приведены имена файлов программы LockBit 2.0 ransomware, собранные и идентифицированные с помощью инфраструктуры AhnLab.

LockBit Ransomware

  • %Resume_221112(I’ll show that I’m a hard worker).exe
  • &Resume_221112(I’ll show that I’m a hard worker).exe
  • #1_Resume_221112(I’ll show that I’m a hard worker).exe
  • $Resume_221112(I’ll show that I’m a hard worker).exe
  • _Resume_221112(I’ll show that I’m a hard worker).exe
  • ^Resume_221112(I’ll show that I’m a hard worker).exe
  • @Resume_221112(I’ll show that I’m a hard worker).exe
  • -Resume_221112(I’ll show that I’m a hard worker).exe
  • +Resume_221112(I’ll show that I’m a hard worker).exe
  • ‘Resume_221112(I’ll show that I’m a hard worker).exe
  • 2.Resume_221112(I’ll show that I’m a hard worker).exe
  • ;Resume_221112(I’ll show that I’m a hard worker).exe
  • [Resume_221112(I’ll show that I’m a hard worker).exe

Хотя на экране V3 Zip-файла отображается значок исполняемого файла EXE, на самом деле папка содержит исполняемый файл, замаскированный под файл изображения. Когда программа-вымогатель запускается, происходит шифрование с использованием формата [Original filename].lockbit, после чего отображается экран заражения с запиской о выкупе Restore-My-Fils.txt.

Метод распространения LockBit 3.0 остался прежним. Собранная ransomware распространялась с именем файла "(Специальный символ)Resume_201116(Подробности опыта включены Спасибо).exe". Ниже показаны типы имен файлов LockBit 3.0, собранных с помощью инфраструктуры AhnLab.

  • #Resume_201116(Experience details are included Thank you).exe
  • $Resume_201116(Experience details are included Thank you).exe
  • %Resume_201116(Experience details are included Thank you).exe
  • &Resume_201116(Experience details are included Thank you).exe
  • _Resume_201116(Experience details are included Thank you).exe

LockBit 3.0 распространяется под видом HWP-файлов, и считается, что частичные вариации имени файла, как показано выше, сделаны для массового распространения.

Когда программа-вымогатель выполняется, шифрование происходит с использованием имени файла [Original File Name].YQ85HpV1.

В последнее время LockBit распространяется массово без ограничений по версиям и с похожими именами файлов. Пользователи должны проверять расширения файлов документов, обновлять приложения и V3 до последней версии и быть особенно осторожными при открытии файлов из неизвестных источников.

LockBit Ransomware IOCs

Indicators of Compromise

MD5

  • 48aa442a0670b65a82eee99c1ed1ac78
  • b303ffe0bbddca1570940557cabdd966
SEC-1275-1
Добавить комментарий