【工具分享】LockBit 3.0勒索病毒解密工具

前言

LockBit 3.0勒索软件，也被称为“LockBit Black”，首次出现在2022年6月。它是LockBit家族的最新版本，继承了前两个版本的基础，同时引入了许多新的功能和反分析技术。LockBit 3.0 采用了勒索即服务（RaaS）模式，允许网络犯罪分子租用其平台进行攻击，因而迅速成为全球范围内最活跃的勒索软件之一。LockBit 3.0在恶意软件社区中获得了广泛关注，部分原因是其开发者甚至推出了一个漏洞赏金计划，鼓励黑客报告其软件中的漏洞。

特征

LockBit 3.0感染系统后，会对文件进行加密，并在文件名后附加一个独特的扩展名，如“HLJkNskOq”。加密完成后，勒索软件会生成一个赎金说明文件，并将受害者的桌面背景更改为显示攻击信息的图片。LockBit 3.0具备先进的反分析和反调试功能，如通过堆内存检测调试器，并使用XOR和位旋转混淆技术来隐藏其恶意活动。此外，LockBit 3.0还可以通过多线程方式高效地加密本地和网络资源，确保最大限度地破坏受害者的系统。

工具使用说明

工具 1：解密 ID 检查器

此脚本会根据执法机构已恢复的已知解密密钥列表检查您的唯一解密 ID。如果找到匹配项，则表明您的案例有可用的解密密钥，系统将指导您如何进行。

提供的工具 （check_decryption_id.exe） 是一个命令行实用程序，因此没有图形用户界面 （GUI）。check_decryption_id.exe可以直接从 Windows 命令提示符执行，无需安装。由于它也不依赖于任何远程服务，因此它在离线环境中可以完全正常运行。

工具 2：检查 LockBit 3.0 的解密 - 用户手册

概述

此工具的目的是评估是否有机会恢复一定数量被LockBit 3.0勒索软件加密的文件。解密的可能性取决于多个因素，在没有访问到Lockbit加密文件的情况下无法预测。

在工具提供的评估过程中，扫描的现有文件不会被修改，但工具会收集诊断输出，这些输出在后续阶段（在满足某些条件的情况下）可能对涉及其他软件的单独步骤有所帮助。本手册仅关注所提供的Check Decrypt实用程序的使用。

重要的是要注意，第二个工具评估的是部分恢复过程的可行性，它不是一个全面的解密解决方案。

先决条件

请仔细阅读本文档中提供的说明，因为成功率取决于此说明。

提供的工具 （check_decrypt.exe） 是一个命令行实用程序，因此没有图形用户界面 （GUI）。check_decrypt.exe可以直接从 Windows 命令提示符中执行，无需安装。由于它也不依赖于任何远程服务，因此它在离线环境中可以完全正常运行。

为了运行此评估，提供的工具需要扫描由 LockBit 勒索软件加密的文件，理想情况下是具有相同 9 个字母文件扩展名的整个加密文件集，而不仅仅是几个文件的子集/提取。

如果多个单独的系统已单独 （！） 加密，则可以在每个系统上单独运行 check_decrypt.exe，而不会影响可恢复文件的可能性。例如，这通常不适用于已挂载的文件共享（在勒索软件加密它们时），因为这些文件共享没有单独加密。

如果满足以下条件，check_decrypt.exe能够评估解密的可能性：

感染系统上的用户生成文件（例如.jpg、.docx，…）具有

它们之前的名称（直到扩展部分）被混淆，通常是一个7字符的字符串，例如pfSek8q

它们的文件名扩展部分，如.jpg被一个看似随机的9字符字符串替换，例如xE9thWXg6

基于此示例的勒索信，在加密过程中留在系统上的多个位置，将在名为xE9thWXg6.README.txt的文件中找到，但这些勒索信并不需要由check_decrypt.exe使用。

程序调用

为了开始评估当前文件集的哪些加密文件可能会被解密，请打开传统的 Windows 命令提示符或 powershell 提示符。除非包含加密文件的路径需要特殊用户权限才能访问，否则可以使用能够运行可移植可执行文件的普通 Windows 用户来运行check_decrypt.exe。

check_decrypt.exe 在调用期间预期有两个参数：

1. 包含加密文件的位置的完全限定路径，

2. 所有加密文件通用的扩展部分。

根据上一节中提供的示例，可以启动假定位于驱动器 E：\ 上的文件夹 nomoreransom 中的check_decrypt.exe，以使用以下命令扫描 D：\data\lockbit_encrypted 中的文件：

E:\check_decrypt.exe "D:\data\lockbit_encrypted" "xE9thWXg6"

在执行过程中，check_decrypt.exe提供了多行状态输出，其中包括找到的具有指定扩展名的文件数量以及对提取的数据执行的计算进度。

作为最后几步之一，check_decrypt.exe创建了一个包含所有已分析文件摘要信息的文件，该文件位于执行命令的当前路径。这意味着，如果此示例命令是从命令提示符的默认起始位置执行的，即由用户nomoreransom打开的当前用户的主目录，那么该文件将创建在以下位置：

C:\Users\nomoreransom\check_decrypt_filestatus_xE9thWXg6.csv

如果后续在同一位置执行check_decrypt.exe并指定相同的扩展名，这个csv文件将被覆盖，因此如果需要，请小心复制或重命名结果.csv文件。

.csv文件允许检查哪些文件已被评估，如果检测到可解密的文件，它也可能有所帮助。

如果检测到可解密的文件，将在提到写入.csv文件的消息之前直接提供可能能够解密的文件数量以及进一步的联系信息。在这种情况下，请使用提供的联系详情来请求有关如何继续解密过程的额外信息。

如果check_decrypt.exe没有检测到任何可解密的文件，将打印“未找到可解密的文件”。不幸的是，这也意味着check_decrypt.exe使用的机制无法用于解密扫描的任何文件。

工具下载地址

solar专业应急响应团队公众号

回复关键字【LockBit】获取下载链接