无法想象!Lockbit杀手锏“三重勒索”,让你的数据宛如囊中之物(5)
2023-04-28 来源:飞速影视
5、持久化
在开始加密之前,LockBit在注册表
SOFTWAREMicrosoftWindowsCurrentVersionRun
位置注册启动项,以防止在加密过程中被系统重启打断。对系统所有目标文件加密完成之后,会删除该启动项。
6、三重勒索
LockBit加密方式依旧采用常见的RSA AES组合。运行后会为用户生成一对RSA-2048公私钥,然后使用内置于程序中的攻击者RSA-2048公钥对用户私钥进行加密
调用RegSetValueExW
写入注册表HKCUSoftWareLockBitfull
而未被加密的用户公钥则会被写入到HKCUSoftWareLockBitPublic。如果LockBit由于某些原因中止重启,将直接从两个注册表中读取密钥数据,从而保证每台机器仅一对密钥。这样可以保证,如果没有攻击者的私钥,就无法解密受害者的私钥。
执行加密前,LockBit使用微软Cmd删除硬盘卷影备份和禁用Windows恢复功能,使受害者无法恢复文件。并删除各种系统和安全日志。
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)
www.fs94.org-飞速影视 粤ICP备74369512号