在 LockBit 初期，运营商一直再寻找更好的方式来增加收益。随着 Maze 和 REvil 勒索团伙的带动下，LockBit 勒索软件运营商也建立了属于自己的数据泄露网站。LockBit家族也渐渐在业内名声大噪。LockBit 运营商也采取了 Raas 的商业模式来推广自己从产品。将 LockBit 出售给其他的公司或组织，由他们利用这些 LockBit 勒索木马变种进行勒索。从2021年7月份 s2w lab 公布的消息来看，LockBit 勒索软件的排名已经上升到了第一位。随着今年俄罗斯的 xss 关闭，很多勒索软件已转到暗网宣传。LockBit 运营商在暗网上 RAMP 论坛发布了 LockBit  2.0新的推广。据 LockBit 运营商声称，他们使用 StealBit 窃密木马进行数据窃取。据称是可在20分钟内从感染的主机上下载将近100GB的数据。

LockBit 家族主要目标是美国、英国、澳大利亚、墨西哥、日本、德国、奥地利等国家，其主要影响的行业涉及交通、零售、金融、食品等行业。

3.1 LockBit1.0

首先 LockBit 病毒最明显的特点就是他的勒索信和扩展名了，这部分也是最容易被其他木马所模仿的地方。在被加密的目录中，生成勒索信，被加密的文件扩展名会改变成 Lockbit。

从代码风格来看，样本是标准的 C++ 编译，且样本具有反调试功能 。

3.2 LockBit2.0

LockBit2.0 是近期出现的新版本。该版本在暗网论坛进行宣传，以下是其宣传的帖子部分截图：

LockBit 2.0的勒索信，同样是要求受害者访问他们在暗网的页面：

3.3 LockBit 1.0 和 LockBit 2.0 对比总结

但由于 LockBit 病毒采用 RaaS 的商业模式，勒索信的内容可能会根据配置的不同有所改变。

从性能方面来看，LockBit 2.0 版本的加密速度远超于 LockBit 1.0 版本。

从样本编码方面来看，LockBit 2.0 版本的编码远比 LockBit 1.0 版本的要复杂许多。几乎所有的 API 函数都是通过动态 DLL 加载进行调用。所有使用到的字符串也都经过了加密处理。功能上增加在加密时组织其他进程启动，自动清除网络日志等。

总体来看，LockBit 2.0 版本各方面均优于 LockBit 1.0 版本。

在 LockBit 团队的宣传中，LockBit  2.0版本提供了更多更加丰富的配套服务。如：Tor 网络中的管理面板、自动进行解密测试服务、强大的扫描器等。

LockBit 家族由于采用 RaaS 的商业模式进行盈利和扩散，其家族的影响规模和影响力逐渐扩大。随着俄罗斯黑客论坛 XSS 禁止发布有关勒索的帖子，像LockBit 家族这样的勒索家族，都逐渐将宣传转入到暗网中。

现阶段的 LockBit 家族，在样本对抗方面采取了简单的反调试和字符串加密的方式，并不存在高强度的混淆和加密。对于一般的静态扫描，还是很容易识别出 LockBit 家族的。LockBit 病毒运行时会对内网其他设备进行扫描，这部分行为时很容易暴露在其他的监控设备中的，而且扫描和本地加密几乎是同时进行的，如果处置及时可能会挽救部分文件于水火之中。

LockBit 病毒在文件加密算法上采用的是 AES 和 RSA，这就导致被加密的文件是很难被还原的。所以对勒索病毒的防御，预防远远比后期处理更为重要。

由于 LockBit 病毒在近期异常活跃，其危害较大，微步情报局从日常防范和发现异常行为两方面提供针对 LockBit 病毒的防范措施与处置建议：

1、在日常生活中，企业及个人如何预防 LockBit 病毒攻击：

企业：

A:应加强员工的培训和安全意识；

B:应及时备份企业重要数据；

C:完善公司内对突发事件的响应；

D:应对邮件系统做好防范，可疑邮件及时处理。

个人：

A:日常要及时备份个人敏感数据：

B:账号密码定期修改；

C:避免多台设备使用重复密码的情况出现。

2、当主机设备检测到异常行为时，我们该如何行动：

A:当发现设备出现大量的内网扫描，应及时处理；

B:当设备被勒索软件加密时，应及时隔离断网；

C:如若收到勒索信息，不要盲目支付赎金，可向专业人士咨询。

 点个 “在看”，再走哟 ~