无法想象！Lockbit杀手锏“三重勒索”，让你的数据宛如囊中之物(5)

5、持久化

在开始加密之前，LockBit在注册表
SOFTWAREMicrosoftWindowsCurrentVersionRun
位置注册启动项，以防止在加密过程中被系统重启打断。对系统所有目标文件加密完成之后，会删除该启动项。

6、三重勒索

LockBit加密方式依旧采用常见的RSA AES组合。运行后会为用户生成一对RSA-2048公私钥，然后使用内置于程序中的攻击者RSA-2048公钥对用户私钥进行加密
调用RegSetValueExW
写入注册表HKCUSoftWareLockBitfull
而未被加密的用户公钥则会被写入到HKCUSoftWareLockBitPublic。如果LockBit由于某些原因中止重启，将直接从两个注册表中读取密钥数据，从而保证每台机器仅一对密钥。这样可以保证，如果没有攻击者的私钥，就无法解密受害者的私钥。

执行加密前，LockBit使用微软Cmd删除硬盘卷影备份和禁用Windows恢复功能，使受害者无法恢复文件。并删除各种系统和安全日志。