19 Shades of LockBit5.0, Inside the Latest Cross-Platform Ransomware: Part 1
January 30, 2026
8 Minute Read by Mark Tsipershtein, Evgeny Ananin, Nikita Kazymirskyi
这份由三部分组成的博客系列文章分析了影响Windows、Linux(LINUX Locker v1.06/v1.08)和ESXi(LINUX ESXi Locker v1.07)环境的跨平台LockBit 5.0勒索软件有效载荷的19个样本,重点阐述了该勒索软件如何运作、加密数据以及与目标系统交互。通过对多个样本进行逆向工程,我们识别了跨平台共享的组件以及特定于操作系统的行为,这些行为使得恶意软件能够在不同环境中高效运行。
该威胁的核心在于使用快速加密方法(ChaCha20)来加密文件和数据,取代了先前版本中使用的基于AES的加密。该恶意软件为性能和可扩展性而设计,能够快速处理大量数据,同时避免依赖标准的加密库,这增加了检测难度。 本报告研究了该恶意软件如何访问文件、管理系统进程以及并行执行任务,为防御者提供对其操作流程的洞察。虽然底层的加密方法保持一致,但与Windows和Linux系统交互的技术有所不同,这反映了对每个平台的刻意适配。 截至撰写本文时,该样本在VirusTotal上的检测评分为1/65。 图1. 截至撰写时,我们分析的LockBit 5.0样本在VirusTotal上的检测结果
威胁态势
LockBit是勒索软件演变为工业化商业模式最清晰的例子之一。它作为勒索软件即服务(RaaS)运作:一个核心团队维护恶意软件、谈判/支付基础设施和泄露网站,而分支机构则负责执行入侵和部署以获取收入分成。这种分工使得该组织能够规模化运作,这也是为什么公开报告中反复将LockBit描述为一个高产量、高影响的生态系统。 图2. 暗网论坛上关于开发计划和共享基金的讨论 最近,LockBit的态势指向了一个可能更严重的市场转变:整合。2025年10月的报告描述了LockBit与其他勒索软件品牌(包括DragonForce和Qilin)结盟,采用类似卡特尔的方法,强调资源共享并邀请其他团伙加入。如果这种伞形模式获得发展势头,防御者可能面临的不仅是一个多产的RaaS品牌,而是一个汇集了分支机构、基础设施和攻击手法的聚合层,从而提高了勒索软件运营的基准能力和潜在规模。 在本报告中,我们分析了LockBit 5.0勒索软件家族最新观察到的样本,比较跨平台和架构的构建版本,以了解哪些方面保持一致、哪些发生了变化,以及这揭示了该团伙当前的发展方向和操作手法。
第一部分:ESXi变种技术分析
概述
VMware ESXi是一种广泛采用的原机管理程序,用于在企业环境中托管和管理大量虚拟机。通过将关键工作负载(如数据库、应用程序服务器和域控制器)整合到单个物理主机中,ESXi实现了效率和可扩展性,但也创造了一个高价值目标。成功入侵ESXi主机可能导致数十甚至数百个系统同时中断。 近年来,勒索软件运营商越来越将其重点从单个端点转向像ESXi这样的管理程序。ESXi定向勒索软件不是加密单个操作系统内的文件,而是攻击支撑整个虚拟基础设施的底层虚拟磁盘文件和配置数据。这种方法在最大限度提高运营影响的同时减少了攻击者的工作量。 图3. LockBit Builder Linux版本视图 图4. LockBit Builder ESXi版本视图
LockBit 5.0 ESXi版本
图4基于静态分析展示了LockBit 5.0 ESXi勒索软件的执行流程。恶意软件首先验证其是否在VMware ESXi环境中运行,然后枚举并强制关闭活动的虚拟机以释放文件锁。接着,它使用快速遍及和完全遍及的多线程加密例程对目标VM文件进行加密。不是丢弃传统的勒索说明,受害者通知通过控制台输出或日志文件处理,这反映了ESXi系统的无头特性。 图5. LockBit ESXi执行流程 这是一个为x86-64架构编译的64位Linux ELF可执行文件。该文件是动态链接的。文件缺少ELF节头,这是恶意软件常用的一种反分析技术。
file lockbit_AMD64
lockbit_AMD64: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, no section header
此ldd命令输出显示了LockBit ESXi二进制文件在运行时所需的共享库。libpthread.so.0表明了线程的使用,支持与并行加密活动一致的多线程执行。
ldd lockbit_AMD64
linux-vdso.so.1 (0x00007f341514f000)
libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007f341512b000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f3414f35000)
/lib64/ld-linux-x86-64.so.2 (0x00007f3415151000)
对该LockBit ESXi样本的Binwalk扫描突出显示了二进制文件中嵌入的文件路径。
binwalk lockbit_AMD64
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------
0 0x0 ELF, 64-bit LSB executable, AMD x86-64, version 1 (SYSV)
362953 0x589C9 Unix path: /var/log/encrypt.log
367904 0x59D20 Unix path: /var/tmp/.guestfs-0/appliance.d/root
路径/var/log/encrypt.log表明恶意软件可能在执行期间将加密活动或状态消息记录到日志文件中。
第二条路径/var/tmp/.guestfs-0/appliance.d/root似乎引用了一个与虚拟设备相关的临时目录结构。它的存在表明恶意软件可能与临时的VM相关文件交互。
对样本内嵌字符串的分析为洞察勒索软件的功能、执行流程以及其与ESXi环境的预期交互提供了有价值的信息。
二进制文件内嵌的版本信息:
LINUX Locker v1.07
LOCKBIT5.0
提取的字符串清楚地表明,此勒索软件专门设计用于攻击VMware ESXi环境。对/vmfs和/vmfs/volumes/的引用表明其意图访问存放虚拟机磁盘文件的VMFS数据存储,而内嵌的vim-cmd命令如vmsvc/getallvms、vmsvc/power.off和vmsvc/power.getstate则展示了在加密前枚举、检查状态和强制关闭虚拟机的内置功能。其他环境验证字符串如ESXi 4、ESXi x64和vmware -v表明恶意软件验证其是否在合法的ESXi主机上执行,有助于避免意外部署在非目标系统或分析环境上。
状态消息如[OK] VM %s (ID: %d) powered off.表明勒索软件跟踪并确认单个虚拟机的成功关机。
# ESXi Specific indicators:
/vmfs
/vmfs/volumes/
/bin/vim-cmd vmsvc/getallvms - enumeration
/bin/vim-cmd vmsvc/power.off %d - poweroff
/bin/vim-cmd vmsvc/power.getstate %d
ESXi 4
ESXi x64
vmware -v
同时,[INFO] VM %s (ID: %d) in bypass list, skipping表明存在一个内部排除列表,可防止某些虚拟机被攻击。命令片段ps | grep vmx | grep "%s"进一步支持了此工作流程,表明恶意软件在运行的进程中搜索与特定虚拟机关联的VMware VMX实例。
VM Logic:
[OK] VM %s (ID: %d) powered off.
[INFO] VM %s (ID: %d) in bypass list, skipping
ps | grep vmx | grep "%s"
诸如-f(快速模式)、-d(指定目标目录)、-l(启用日志记录)和-b(后台执行)等选项提供了操作灵活性,而-m(注释存储模式)和-k(禁用自毁)则表明可调整的加密后行为。
额外的标志直接影响加密过程:-r控制每个文件的加密百分比,-w启用可用磁盘空间的擦除,-t设置延迟启动,-o禁用自动VM终止,-n允许按ID排除特定虚拟机。支持性的状态消息如Fast mode enabled (1% encryption)和Fast pass completed. Starting full encryption pass,以及标记.vmdk.fastpass,确认了两阶段加密策略,即快速的局部遍及之后是更彻底的加密。
Parameters:
-f Fast mode (1% encryption)
-d Specific directories to encrypt
-l Enable logging
-b Background mode
-m Note storage mode (0,1,2)
-k Do not self-destruct
Encryption:
-r Encryption percentage (10–90)
-w Wipe free disk space
-t Timeout before starting
-o Don't try to automatically kill VMs
-n Skip VMs by ID
Fast mode enabled (1% encryption)
Fast pass completed. Starting full encryption pass
.vmdk.fastpass
目标文件扩展名列表清楚地表明,该勒索软件被设计用于在管理程序级别破坏虚拟机基础设施。诸如.vmdk(虚拟磁盘文件)和.vmx(VM配置文件)等文件对于虚拟机运行至关重要,而支持性文件如vswp(交换文件)、vmem(内存快照)和vmsn(快照状态文件)也包括在内以确保全面影响。额外的元数据和状态文件:vmsd、vmtx、vmss、vmxf和nvram,进一步表明其意图破坏运行时和配置数据。
# Targeted Files:
.vmdk
.vmx
vswp
vmem
vmsn
vmsd
vmtx
vmss
vmxf
nvram
对/var/log/encrypt.log的引用以及消息[INFO] Logging enabled表明恶意软件可以将其活动记录到本地日志文件中,可能旨在为操作员在ESXi的命令行驱动环境中提供执行反馈。此外,诸如[INFO] Binary removed successfully.和[ERROR] Failed to remove binary.等消息揭示了一个内置的自删除例程,旨在部署后删除可执行文件。
Logging:
/var/log/encrypt.log
[INFO] Logging enabled
Self delete:
[INFO] Binary removed successfully.
[ERROR] Failed to remove binary.
对/proc/self/maps和/proc/self/status的引用,以及字段TracerPid:,表明恶意软件检查其自身进程状态以确定是否正在被调试或跟踪。提及诸如valgrind、frida、strace和ltrace等工具表明它积极寻找常见的动态分析和检测框架。此外,asan、tsan、msan和ubsan的存在,这些是用于调试和研究环境的编译器组件,表明存在旨在避免在内存分析下执行的进一步检查。
Anti Analysis and Anti Sandbox:
/proc/self/maps
TracerPid:
/proc/self/status
valgrind
frida
strace
ltrace
asan
tsan
msan
ubsan
诸如/proc、/dev和/sys等目录包含用于内核和硬件交互的虚拟和设备相关的重要文件,而/bootbank和/altbootbank则存储ESXi引导映像和恢复分区。核心系统位置如/etc、/lib和/bin也被排除,防止配置文件和基本二进制文件被破坏。通过排除这些路径,恶意软件确保主机保持可引导和可访问,允许受害者访问系统并有可能支付赎金。
Exclutions (avoid breaking the hypervisor):
/proc
/dev
/sys
/bootbank
/altbootbank
/etc
/lib
/bin
字符串分析揭示了样本中广泛的ESXi特定功能,包括与VMware管理实用程序(vim-cmd)的原生交互、VM枚举和关机逻辑,以及对VM磁盘和配置构件的针对性加密。该二进制文件暴露了一个全面的命令行界面,允许操作员控制加密范围、百分比、执行模式、日志记录行为和VM排除,这与LockBit基于分支机构的勒索软件即服务模式一致。附加功能包括快速遍及部分加密、可选的可用空间擦除、自删除以及针对调试和检测框架的多种反分析检查。
控制流与核心例程
为确保勒索软件在ESXi主机上运行,它首先通过执行以下命令执行操作系统检查:
命令vmware -v 2> /dev/null用于静默检查系统是否运行VMware,通过查询版本信息同时抑制任何错误消息,允许恶意软件检测ESXi环境而不产生可见输出。
命令ps | grep vmx | grep "%s" | grep -v grep | awk '{print $2}' | sort -u用于定位与特定标识符匹配的正在运行的VMware虚拟机进程,提取它们的进程ID,并生成一个唯一列表,很可能使恶意软件能够在加密前终止活动VM。
虚拟机关机例程,恶意软件在此处检查VM的电源状态,如果仍在运行,则重复发出vim-cmd vmsvc/power.off命令,同时验证结果,确认一个旨在确保虚拟机在加密开始前完全关闭的自动化循环。
命令行选项如快速加密模式、后台执行、静默模式、注释存储行为、自毁控制、可用空间擦除和自定义加密百分比,表明了一个高度可配置的执行流程。
勒索软件维护实时操作指标,可能旨在为操作员提供进度可见性,并验证加密过程在目标环境中是否成功完成。
加密
ChaCha20流密码实现:
十六进制值解码为ASCII 内存中(小端序)重新排序后,此值拼写为“expand 32-byte k”,这是用于初始化状态的ChaCha20常量字符串。
ESXi I386变种分析
分析的样本是一个与VMware ESXi攻击相关的32位Linux ELF(i386),观察到的标签为“LINUX Locker v1.06”,这可能表明是先前版本未更改的构建,或是操作员的版本计数器疏忽。虽然它可以在提供所需32位运行时或加载程序的通用Linux主机上执行,但其编排明显为ESXi进行了优化:操作流程与之前在x64 ESXi样本中观察到的相同。它假设在/vmfs/volumes/...下进行数据存储发现和遍历,并集成了VMware管理工具(例如,vim-cmd)进行VM枚举和电源状态处理,这意味着除非手动提供路径,否则非ESXi Linux上依赖于ESXi的阶段可能会失败或被绕过。
展示Poly1305操作的代码反编译样本示例
从分析的角度来看,该二进制文件被剥离,并且显著地省略了节头表,降低了常见自动化分类和基于节的逆向工作流程的有效性。该实现还通过线程和TLS状态表明了并发处理,并且它将辅助字符串和操作参数编码在运行时字符串混淆层之后,其中高价值文本(路径、命令模板和消息)使用基于旋转的变换按需解码。在功能上,代码库包含一个现代的加密栈——ChaCha系列。
在本系列的下一部分,我们将介绍Linux和Windows变种。FINISHED
