LockBit 3.0：新型勒索病毒的威胁分析

关键要点

• LockBit 3.0 与 BlackMatter 勒索病毒有相似之处，采用了多项相似技术。
• 此版本采取“文件删除”技术，通过 .tmp 文件进行覆盖以防止恢复。
• LockBit 3.0 还使用了与 Egregor 勒索病毒相似的解密参数。

最新的 LockBit 勒索病毒版本 LockBit 3.0（又名 LockBit Black）被 Trend Micro 的研究人员发现与 BlackMatter 勒索病毒存在相似性。该版本除了利用 BlackMatter 的特权升级和信息收集技术来确定进程终止所需的 API外，还采用相同的策略来规避分析。根据 Trend Micro 的报告，LockBit 3.0 还使用了与已停止运作的 Egregor 勒索病毒类似的 "-pass" 参数进行主例程解密，并试图避免对独立国家联合体内的系统进行攻击。

根据研究人员的说法，LockBit 3.0 的一个显著特征是其文件删除技术：它并不是通过 cmd.exe 执行批处理文件或命令来执行删除操作，而是通过一个从二进制文件解密后得到的 .tmp 文件进行覆盖。这种方法使得勒索病毒的二进制文件内容被 .tmp 文件覆盖，从而阻碍了恢复和检测。

表格对比

通过这些行为，可以看出，LockBit 3.0 旨在增强其隐蔽性和攻击效果，对安全领域构成了持续的威胁。需要采取相应措施以防范此类勒索病毒的影响。