Группа анализа ASEC обнаружила, что Lockbit 2.0 распространяется в формате MalPE вместо формата NSIS, в котором он был представлен ранее. Формат MalPE - это метод упаковки, который нарушает анализ фактической вредоносной программы. Затем он расшифровывает и исполняет свои PE-файлы с помощью внутреннего кода оболочки.
LockBit 2.0 Ransomware
Недавно в ходе мониторинга ransomware мы обнаружили, что распространение LockBit возросло с января. Как и прежде, LockBit распространяется с именами файлов, которые делают их похожими на приложения для работы. Новые обнаруженные имена файлов, а также уже существующие, выглядят следующим образом.
- _Resume_220926 (Experience details are included Thank you).exe
- #Resume_221116 (Experience details are included Thank you).exe
- (Resume_221112 (I’ll show that I’m a hard worker).exe
- 221208_Resume (I’ll do my best I will be in your case Thank you).exe
- ~Resume_230116.exe
- $Resume_230108.exe
- Re_su_me [230124 (Experience details are included Thank you].exe
- [Re_su_me] 230130 Please note that my experience details are also included.exe
Распространяемая программа Lockbit 2.0 ransomware с именем файла "Re_su_me [230124 (Experience details are included Thank you].exe" имеет формат MalPE, который имеет специфическую строку в области ресурсов, как показано на рисунке 1. Вредоносные программы формата MalPE имеют свойство распространяться с идентичными иконками, однако программа Lockbit 2.0 ransomware распространяется с иконкой, измененной на иконку Хангыль, что отражает ее маскировку под резюме.
Запущенная программа-вымогатель удаляет копии тени тома, регистрирует ключи запуска и отключает службы и процессы, чтобы избежать заражения и анализа файлов; при этом данная программа-вымогатель также удаляет журналы событий, что является поведением, которое никогда не было представлено.
1 2 3 4 5 6 | bcdedit /set {default} bootstatuspolicy ignoreallfailures bcdedit /set {default} recoveryenabled no vssadmin delete shadows /all /quiet wmic shadowcopy delete wevutil cl application wevutil cl system |
После этого она шифрует системные файлы пользователя. Зашифрованные файлы имеют одинаковое расширение .lockbit и иконку. Команда также генерирует записку о выкупе с именем "Restore-My-Files.txt" перед сменой обоев.
Распространяемая вредоносная программа формата MalPE в последнее время нацелена на компании с помощью электронных писем, замаскированных под заявления о приеме на работу. Этим способом распространяется не только LockBit, но и всевозможные другие вредоносные программы.
LockBit 2.0 Ransomware IOCs
- LockBit 2.0 Ransomware IOCs
- LockBit 2.0 Ransomware IOCs - Part 2
- LockBit 2.0 Ransomware IOCs - Part 3
Indicators of Compromise
MD5
- 6a98b2b6e37c7c92368548e902e9a139
- cfbc3e71c945dd9918f0013acb652cbd