伪造侵犯版权电子邮件分发Lockbit勒索软件

AhnLab证实，“LockBit”勒索软件通过伪造侵犯版权相关内容的网络钓鱼邮件进行再次分发。本文将对LockBit的分发方式进行详尽的分析。

 

近期发现的包含LockBit勒索软件的网络钓鱼邮件的内容与今年2月分发的电子邮件类似。如【图1】所示，和以前一样，压缩文件的密码包含在附件文件名中。您可以在下面的链接中参考先前确认的网络钓鱼邮件的正文。

▶ 伪造申请书或版权相关内容的电子邮件分发LockBit勒索软件

【图1】网络钓鱼邮件正文

 

另外，如【图2】所示，可以看到网络钓鱼邮件附加的压缩文件内还有其他压缩文件。里面的压缩文件解压后，出现一个伪装成PDF文件图标的可执行文件。

 

 

【图2】压缩文件内部存在其他压缩文件

 

该文件为NSIS文件形式，如【图3】所示。查看nsi脚本内容，可以看出，解码“162809383”数据文件，通过递归执行和注入的方式执行恶意行为。

 

【图3】NSIS文件内部

 

 

【图4】部分nsi脚本

 

LockBit勒索软件会删除卷影副本以防止数据恢复。另外，为持续运行勒索软件，会在注册表中注册启动项并将LockBit_Ransomware.hta拖放到桌面上。并且，通过注册到注册表，以便即使在更换桌面背景或重新启动后也可以保持运行。

 

之后，它会结束大多数服务和进程，以便感染运行中的文件和绕过分析。在特定服务和进程结束后进行加密，当驱动器类型为DRIVE_REMOVABLE、DRIVE_FIXED或DRIVE_RAMDISK时，进行加密。

加密除外的文件夹和文件扩展名如下所示：

-      文件夹：system volume information, windows photo viewer, windowspowershell, internet explorer, windows security, windows defender, $recycle.bin, Mozilla, msbuild, appdata, windows

-      扩展名：.mp4 .mp3 .reg .ini .idx .cur .drv .sys .ico .lnk .dll .exe .lock .lockbit .sqlite .accdb .lzma .zipx .7z .db

 

加密文件具有“.lockbit”扩展名和特定图标，并在加密的文件夹中生成文件名为“Restore-My-Files.txt”的勒索笔记。 

 

【图5】勒索笔记

 

 

【图6】被勒索软件感染的界面

 

如上所述，伪造侵犯版权相关内容的勒索文件的分发从过去到到现在一直在持续。另外，由于邮件中包含与版权相关的实际作者姓名，用户在运行附件时无法识别它是恶意邮件。因此，用户在打开这类邮件附件时需要格外小心。

 

目前，V3可以检测并拦截相应的恶意代码。 

 

 

更多详情请查看ASEC博客。 

▶点击查看ASEC博客