Сжатый файл, прикрепленный к фишинговым письмам, имеет формат [Имя человека].zip и содержит внутри дополнительный сжатый файл. Дополнительный сжатый файл содержит LockBit 2.0, замаскированный под файл изображения и обычный файл Excel. Имя файла распространяемой ransomware - "(Special character)Resume_221112(I’ll show that I’m a hard worker).exe". Ниже приведены имена файлов программы LockBit 2.0 ransomware, собранные и идентифицированные с помощью инфраструктуры AhnLab.
LockBit Ransomware
- %Resume_221112(I’ll show that I’m a hard worker).exe
- &Resume_221112(I’ll show that I’m a hard worker).exe
- #1_Resume_221112(I’ll show that I’m a hard worker).exe
- $Resume_221112(I’ll show that I’m a hard worker).exe
- _Resume_221112(I’ll show that I’m a hard worker).exe
- ^Resume_221112(I’ll show that I’m a hard worker).exe
- @Resume_221112(I’ll show that I’m a hard worker).exe
- -Resume_221112(I’ll show that I’m a hard worker).exe
- +Resume_221112(I’ll show that I’m a hard worker).exe
- ‘Resume_221112(I’ll show that I’m a hard worker).exe
- 2.Resume_221112(I’ll show that I’m a hard worker).exe
- ;Resume_221112(I’ll show that I’m a hard worker).exe
- [Resume_221112(I’ll show that I’m a hard worker).exe
Хотя на экране V3 Zip-файла отображается значок исполняемого файла EXE, на самом деле папка содержит исполняемый файл, замаскированный под файл изображения. Когда программа-вымогатель запускается, происходит шифрование с использованием формата [Original filename].lockbit, после чего отображается экран заражения с запиской о выкупе Restore-My-Fils.txt.
Метод распространения LockBit 3.0 остался прежним. Собранная ransomware распространялась с именем файла "(Специальный символ)Resume_201116(Подробности опыта включены Спасибо).exe". Ниже показаны типы имен файлов LockBit 3.0, собранных с помощью инфраструктуры AhnLab.
- #Resume_201116(Experience details are included Thank you).exe
- $Resume_201116(Experience details are included Thank you).exe
- %Resume_201116(Experience details are included Thank you).exe
- &Resume_201116(Experience details are included Thank you).exe
- _Resume_201116(Experience details are included Thank you).exe
LockBit 3.0 распространяется под видом HWP-файлов, и считается, что частичные вариации имени файла, как показано выше, сделаны для массового распространения.
Когда программа-вымогатель выполняется, шифрование происходит с использованием имени файла [Original File Name].YQ85HpV1.
В последнее время LockBit распространяется массово без ограничений по версиям и с похожими именами файлов. Пользователи должны проверять расширения файлов документов, обновлять приложения и V3 до последней версии и быть особенно осторожными при открытии файлов из неизвестных источников.
LockBit Ransomware IOCs
Indicators of Compromise
MD5
- 48aa442a0670b65a82eee99c1ed1ac78
- b303ffe0bbddca1570940557cabdd966