TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

LockBit 2.0 ransomware bugs and database recovery attempts

【図表】


図1: テスト1:暗号化装置の動作例

図2. テスト#2:暗号化装置の動作

図3 WriteFile操作のコールスタックの表示 WriteFile操作のコールスタックの表示

図4. 暗号化されたコンテンツをディスクに書き戻すコード

図5. 図4のデコンパイル

図6. 暗号化器のマルチスレッド初期化と暗号化を実行する隠しスレッドの使用

図7. NTSTATUSの値

図8. 復号化ブロブは見つかりましたが、想定されるファイルの末尾にはありません

図9. ファイルサイズと対象となる暗号化されたデータベースファイル

図10. 復号化ブロブの正しい位置合わせ(復号器を再実行する前に

図11. (左) 暗号化されたファイル、(右) 正常に復号化されたファイル
出典: https://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/part-1-lockbit-2-0-ransomware-bugs-and-database-recovery/ba-p/3254354


【ブログ】

◆LockBit 2.0 ransomware bugs and database recovery attempts (Microsoft, 2022/03/11 10:01)
[LockBit 2.0ランサムウェアのバグとデータベース復旧の試み ]
https://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/part-1-lockbit-2-0-ransomware-bugs-and-database-recovery/ba-p/3254354


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023