【成功案例】lockbit家族百万赎金不必付!技术手段修复被加密的数据库,附溯源分析报告

1.背景

1.1 事件背景

11月2日,某科技公司紧急联系我司团队求助,称其公司共有20余台服务器被勒索病毒加密。通过勒索信中提供的TOX(即时通讯软件),该公司尝试与黑客取得联系并展开谈判,在首次谈判中,当用户询问赎金费用时,黑客开出了20万美元(约合150万元人民币)的要价。

图片

该赎金费用远远超出用户的预算,因此用户再次询问单个ID的恢复费用是否与恢复所有ID的费用一致。黑客的回复是,恢复所有ID的费用为20万美元(约合150万元人民币),而恢复单个ID的费用为15万美元(约合100万元人民币)

图片

然而,尽管用户尝试与黑客沟通并表达了经济困难,但黑客并未作出任何回应,且明确表示15万美元的赎金费用为最终报价,拒绝接受任何降价方案。由于该赎金金额远远超出了公司的承受范围,且无法确保支付赎金后数据能够成功恢复,公司决定不再与黑客继续交涉,而是转向寻求我司的专业技术支持,希望通过技术手段恢复数据,确保业务能够尽快恢复正常。

图片

1.2 处理结果

在前期排查过程中,我们成功提取到了该加密器样本,并对其进行了深入分析。根据客户的反馈,其受感染数据对于业务运营至关重要,而服务器环境和业务系统则可以重新配置后再导入数据。基于这一实际情况,我们将工作重点明确为优先恢复数据,确保客户关键业务尽快恢复正常,同时为后续环境重建和系统优化做好技术支持准备。

在提取被加密的MSSQL数据库文件后,我们发现受影响的MSSQL数据库文件仅有头部被加密,这为数据恢复提供了可能性。在与客户协商后,我们决定提取所有被加密的数据库文件,集中进行恢复操作。同时,客户配合重置业务环境并重新搭建系统框架,以确保恢复后的数据能无缝导入新环境。整个流程旨在最大限度地缩短业务中断时间,恢复完成后将直接导入数据,确保业务快速回归正常运行。我们的计划不仅提高了数据恢复效率,还为客户节约了宝贵的运营时间。

图片

最终,我们成功交付了恢复后的数据库文件,客户在验证后确认,恢复的数据库文件完整无误,可正常导入且未发现数据缺漏,各项功能均可正常使用。后续,文章将简要讲解本次数据库恢复的技术细节、入侵全流程的溯源分析,以及所采取的加固措施,旨在为其他遇到类似情况的公司提供有价值的参考与借鉴。

图片

1.3 lockbit家族介绍

LockBit 3.0(也称为 LockBit Black)是LockBit 勒索软件的新变种。前身LockBit最早出现在2019年,安全研究人员一度将其称为ABCD(因为早期变种将加密文件的扩展名改为.abcd)。2021年,发布Lockbit2.0版本,也称Lockbit RED,加入了双重勒索攻击、删除磁盘卷影和日志文件等新功能。同时还内置了一款名为StealBit的数据窃取木马,该木马是为了支持LockBit Raas附属机构从受害者公司快速窃取敏感数据。被加密后的文件以.lockbit结尾,留下文档Restore-My-Files.txt。2022年,Lockbit3.0发布,又名LockBit Black,成为全球规模最大的勒索软件变种,且在2023年、2024年继续肆虐。

1.4 lockbit构建器泄露

在 2022 年 9 月,Twitter 用户 3xp0rtblog 宣布该勒索软件的构建器已被 ali_qushji 泄露,可以从 GitHub 上下载。

"招募合作伙伴":是指LockBit勒索软件运营者主动寻找和吸纳其他人或组织作为合作伙伴或下属,共同参与勒索软件攻击活动。

针对lockbit构建器泄露的分析文章可参考Lockbit 3.0勒索病毒加密程序分析

图片

LockBit 3.0 Builder 在 Twitter 上泄露

图片

LockBit 3.0 构建器

1.5 家族特征

通过对本次捕获的加密器样本和勒索信内容的分析,我们发现其与正版 LockBit 3.0 家族存在明显差异:首先,勒索信的语言以中文版为主,缺少 LockBit 3.0 常见的多语言支持;其次,勒索信中未标注家族名称,暗网地址不具备 LockBit 家族的典型特征且目前无法访问;此外,信中额外提供了 TOX 和邮箱等多种联系方式,但对比 LockBit 3.0 官方暗网中的 TOX ID,发现其并不一致。综合这些差异,我们初步判断这是一个基于 LockBit 3.0 加密器泄露版本的构造样本,非正版家族攻击行为。

1.5.1 勒索信对比

图片

原始勒索信内容

~~ LockBit 3.0 the world's fastest and most stable ransomware from 2019~~~

>>>>> Your data is stolen and encrypted.

BLOG Tor Browser Links:
http://lockbitxxxxxxiocyo5epmpy6klmejchjtzddoekjlnt6mu3qhxxxxxx.onion/
http://lockbitxxxxxx3katajf6zaehxz4h4cnhmz5t735zpltywhwpcxxxxxx.onion/
http://lockbitxxxxxxetlc4tl5zydnoluphh7fvdt5oa6arcp2757r7xxxxxx.onion/
http://lockbitxxxxxxki62yun7z5nhwz6jyjdp2c64j5vge536if2exxxxxx.onion/
http://lockbitxxxxxxuquhoka3t4spqym2m3dhe66d6lr337glmnlggxxxxxx.onion/
http://lockbitxxxxxxuo3qafoksvl742vieqbujxw7rd6ofzdtapjb4rxxxxxx.onion/
http://lockbitxxxxxxdgtojeoj5hvu6bljqtghitekwpdy3b6y62ixtxxxxxx.onion/

>>>>> What guarantee is there that we won't cheat you? 
We are the oldest ransomware affiliate program on the planet, nothing is more important than our reputation. We are not a politically motivated group and we want nothing more than money. If you pay, we will fulfill all the terms we agree on during the negotiation process. Treat this situation simply as a paid training session for your system administrators, because it was the misconfiguration of your corporate network that allowed us to attack you. Our pentesting services should be paid for the same way you pay your system administrators salaries. You can get more information about us on Ilon Musk's Twitter https://twitter.com/hashtag/lockbit?f=live
 
>>>>> You need to contact us on TOR darknet sites with your personal ID

Download and install Tor Browser https://www.torproject.org/
Write to the chat room and wait for an answer, we'll guarantee a response from us. If you need a unique ID for correspondence with us that no one will know about, ask it in the chat, we will generate a secret chat for you and give you his ID via private one-time memos service, no one can find out this ID but you. Sometimes you will have to wait some time for our reply, this is because we have a lot of work and we attack hundreds of companies around the world.

Tor Browser personal link for CHAT available only to you (available during a ddos attack): 
http://lockbit74beza5z3e3so7qmjnvlgoemscp7wtp33xo7xv7f7xtlqbkqd.onion

Tor Browser Links for CHAT (sometimes unavailable due to ddos attacks):
http://lockbit5eevg7vec4vwwtzxxxxxxap6oxbic2ye4mnmlq6njnpc47qd.onion
http://lockbit74beza5z3e3so7xxxxxxmscp7wtp33xo7xv7f7xtlqbkqd.onion
http://lockbit75naln4yj44rg6exxxxxx7up4kxmmmuvilcg4ak3zihxid.onion
http://lockbit7a2g6ve7etbcy6iyixxxxxxeffz4szgmxaawcbfauluavi5jqd.onion
http://lockbitaa46gwjck2xzmxxxxxx4x3aqn6ez7yntitero2k7ae6yoyd.onion
http://lockbitb42tkml3ipianjxxxxxxhcshb7oxm2stubfvdzn3y2yqgbad.onion
http://lockbitcuo23q7qrymbk6dxxxxxxtspjvjxgcyp4elbnbr6tcnwq7qd.onion

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>> Your personal Black ID:  <<
>>>>>>>>>>>&g
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值