分析者: Raymart Christian Yambot   
 :

Dump:Generic.Ransom.BlackLockbit.A.73C4297E (BITDEFENDER)

 平台:

Windows

 总体风险等级:
 潜在破坏:
 潜在分布:
 感染次数:
 信息暴露:

  • 恶意软件类型:
    Ransomware

  • 有破坏性?:
    没有

  • 加密?:
     

  • In the Wild:
    是的

  概要

感染途徑: 从互联网下载、由其他恶意软件释放

该勒索软件通过两种途径侵入系统:一是被其他恶意软件作为文件植入,二是用户访问恶意网站时在不知情的情况下下载的文件。

它会释放勒索说明文件作为赎金票据,并避免加密具有以下扩展名的文件:

  技术详细信息

文件大小: 567,808 bytes
报告日期: DLL
内存驻留: 没有
初始樣本接收日期: 2025年4月10日
Payload: 加密文件、终止进程, Disables AV

Arrival Details

该勒索软件通过两种途径侵入系统:一是被其他恶意软件作为文件植入,二是用户访问恶意网站时在不知情的情况下下载的文件。

进程终止

若在受感染系统上发现以下服务,该勒索软件会将其终止:

  • vss
  • sql
  • svc$
  • memtas
  • mepocs
  • sophos
  • veeam
  • backup
  • GxVss
  • GxBlr
  • GxFWD
  • GxCVD
  • GxCIMgr
  • DefWatch
  • ccEvtMgr
  • ccSetMgr
  • SavRoam
  • RTVscan
  • QBFCService
  • QBIDPService
  • Intuit.QuickBooks.FCS
  • QBCFMonitorService
  • YooBackup
  • YooIT
  • zhudongfangyu
  • sophos
  • stc_raw_agent
  • VSNAPVSS
  • VeeamTransportSvc
  • VeeamDeploymentService
  • VeeamNFSSvc
  • veeam
  • PDVFSService
  • BackupExecVSSProvider
  • BackupExecAgentAccelerator
  • BackupExecAgentBrowser
  • BackupExecDiveciMediaService
  • BackupExecJobEngine
  • BackupExecManagementService
  • BackupExecRPCService
  • AcrSch2Svc
  • AcronisAgent
  • CASAD2DWebSvc
  • CAARCUpdateSvc

若在受感染系统的内存中发现以下进程正在运行,该勒索软件会将其终止:

  • sql.exe
  • oracle.exe
  • ocssd.exe
  • dbsnmp.exe
  • synctime.exe
  • agntsvc.exe
  • isqlplussvc.exe
  • xfssvccon.exe
  • mydesktopservice.exe
  • ocautoupds.exe
  • encsvc.exe
  • firefox.exe
  • tbirdconfig.exe
  • mydesktopqos.exe
  • ocomm.exe
  • dbeng50.exe
  • sqbcoreservice.exe
  • excel.exe
  • infopath.exe
  • msaccess.exe
  • mspub.exe
  • onenote.exe
  • outlook.exe
  • powerpnt.exe
  • steam.exe
  • thebat.exe
  • thunderbird.exe
  • visio.exe
  • winword.exe
  • wordpad.exe
  • notepad.exe

其他信息

该勒索软件会执行以下操作:

  • It encrypts fixed, removable, and network shares
  • 它使用 Windows 重启管理器 API 来关闭可能正在保持文件打开状态并阻止加密的进程或 Windows 服务。
  • It empties the recycle bin.
  • If any of these files or folders have a "Date Modified" timestamp on or after June 6, 2026, the process will terminate:
    • %Windows%\bootstat.dat
    • %Windows%\bootstat.dat
    • %Windows%\WindowsUpdate.log
    • %System%\perfc009.dat
    • %System%\perfh009.dat
    • %System%\PerfStringBackup.ini
    • System Root%\Users\All Users\AppData\Local\Temp\
    • %System Root%\Users\Default\AppData\Local\Temp\
    • %System Root%\Users\Default User\AppData\Local\Temp\
    • %AppDataLocal%\Temp\
    • %User Temp%
    • %Temp%
  • 该程序会检测特定计算机名称,并在发现匹配时自行终止。

(Note: %Temp% 正是Windows临时文件夹,即其通常所在位置 C:\Windows\Temp 适用于所有Windows操作系统版本。)

Ransomware Routine

该勒索软件会避免加密文件名中包含以下字符串的文件:

  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • bootmgr
  • bootmgr.efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • Program Files
  • Program Files (x86)
  • #recycle
  • How to decrypt my data.txt
  • decryptiondescription.pdf
  • config.json
  • Important!!!.pdf

该程序会避免加密文件路径中包含以下字符串的文件:

  • AppData
  • Boot
  • Windows
  • Windows.old
  • Tor Browser
  • Internet Explorer
  • Google
  • Opera
  • Opera Software
  • Mozilla
  • Mozilla Firefox
  • $Recycle.Bin
  • ProgramData
  • All Users

它会为加密文件的文件名添加以下扩展名:

  • .x2anylock

它会释放以下文件作为勒索信:

  • {Encrypted Directory}\How to decrypt my data.txt

它会避免加密具有以下文件扩展名的文件:

  • .x2anylock
  • .xlockxlock
  • .386
  • .adv
  • .ani
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .cur
  • .deskthemepack
  • .diagcab
  • .diagcfg
  • .diagpkg
  • .dll
  • .drv
  • .exe
  • .hlp
  • .icl
  • .icns
  • .ico
  • .ics
  • .idx
  • .ldf
  • .lnk
  • .mod
  • .mpa
  • .msc
  • .msp
  • .msstyles
  • .msu
  • .nls
  • .nomedia
  • .ocx
  • .prf
  • .ps1
  • .rom
  • .rtp
  • .scr
  • .shs
  • .spl
  • .sys
  • .theme
  • .themepack
  • .wpx
  • .lock
  • .key
  • .hta
  • .msi
  • .pdb
  • .search-ms

  解决方案

最小扫描引擎: 9.800
First VSAPI Pattern File: 20.134.07
VSAPI 第一样式发布日期: 2025年4月10日
VSAPI OPR样式版本: 20.135.00
VSAPI OPR样式发布日期: 2025年4月11日

Step 1

在进行任何扫描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用户必须先执行以下操作: 禁用 系统还原 以便对电脑进行全面扫描。

Step 2

注意:在此恶意软件/间谍软件/灰色软件执行期间,并非所有文件、文件夹和注册表键值和项都会安装到您的计算机上。这可能是由于不完整的安装或其他操作系统条件所致。如果您没有找到相同的文件/文件夹/注册表信息,请继续进行下一步操作。

Step 3

搜索并删除这些文件

[ 更多 ]
某些文件可能被隐藏,请务必勾选 搜索隐藏的文件和文件夹 勾选框 "更多进阶选项" 选项,以在搜索结果中包含所有隐藏的文件和文件夹。  
  • {Encrypted Directory}\How to decrypt my data.txt
请按以下步骤操作=

要删除恶意软件/灰色软件文件:

适用于 Windows 7、Server 2008 (R2)、8、8.1、10 及 Server 2012 (R2) 系统:

  1. 打开 Windows 资源管理器窗口。
    • 对于 Windows 7 和 Server 2008 (R2) 用户:点击Start>Computer.
    • 对于Windows 8、8.1、10及Server 2012用户, 右键单击屏幕左下角,然后点击 File Explorer.
  2. 搜索计算机/此电脑输入框中,键入:
     
    • {Encrypted Directory}\How to decrypt my data.txt
  3. 定位到该文件后,选中并按 SHIFT+DELETE 将其删除。
  4. 对所有列出的文件重复上述步骤。
    *Note:阅读以下微软官方页面 若上述步骤在 Windows 7 和 Server 2008 (R2) 系统上无效:

Step 4

使用您的亚信安全产品扫描电脑,删除被检测为以下名称的文件 Ransom.Win64.LOCKBIT.YXFDJ. 若亚信安全产品已将检测到的文件清除、删除或隔离,则无需再执行任何额外步骤;您也可选择直接删除隔离区中的文件。更多信息请访问以下亚信安全支持页面:

Step 5

从备份中还原加密文件。