LockBit

#停止勒索软件：LockBit 3.0

LockBit 3.0 在编译时配置了许多不同的选项，这些选项决定了勒索软件的行为。在受害者环境中实际执行勒索软件时，可以提供各种参数来进一步修改勒索软件的行为。例如，LockBit 3.0 接受其他参数，用于横向移动和重新启动到安全模式中的特定操作（请参阅“妥协指标”下的 LockBit 命令行参数）。如果 LockBit 关联公司无法访问无密码的 LockBit 3.0 勒索软件，则在执行勒索软件期间必须输入密码参数。如果 LockBit 3.0 关联公司无法输入正确的密码，则无法执行勒索软件 [T1480.001]。密码是解码 LockBit 3.0 可执行文件的加密密钥。通过以这种方式保护代码，LockBit 3.0 阻碍了恶意软件的检测和分析，因为代码在加密形式下是不可执行和不可读的。基于签名的检测可能无法检测到 LockBit 3.0 可执行文件，因为可执行文件的加密部分会根据用于加密的加密密钥而有所不同，同时还会生成唯一的哈希值。当提供正确的密码时，LockBit 3.0 将解密主要组件，继续解密或解压缩其代码，并执行勒索软件。