imtoken钱包下载2.6|勒索病毒生成器

作者: imtoken钱包下载2.6
2024-03-09 19:34:58

LockBit勒索病毒生成器被泄露 - 安全内参 | 决策者的网络安全知识库

Toggle navigation

首页

产业趋势

专家观察

CISO洞察

决策研究

APP下载

LockBit勒索病毒生成器被泄露

病毒木马

安全分析与研究

2022-09-21

经测试，该生成器确实为LockBit3.0勒索病毒的完整生成器。

近日，国外某人在社交媒体论坛上宣称，自己的团队入侵了LockBit勒索病毒的服务器，并找到了LockBit Black(3.0)勒索病毒的生成器。LockBit勒索病毒首次攻击于2019年9月被发现，最开始被称作为ABCD勒索病毒，因为它加密后的文件后缀名为abcd，随后它加密后的文件后缀修改为lockbit,并被更名为LockBit勒索病毒，与大多数主流勒索病毒黑客组织一样，以RAAS(Ransomware-as-a-service)平台模式运营，并于2021年6月该勒索病毒推出了它的更新版本LockBit2.0，并加入了磁盘卷影和日志文件删除等新功能，同时还推出了它的专用窃密木马StealBit，对受害者进行双重勒索攻击，它是继GandCrab、Sodinokibi(REvil)等勒索病毒之后，成为全球最活跃的勒索病毒，同时该勒索病毒也号称是加密速度最快的勒索病毒。2022年6月，LockBit勒索病毒黑客组织再次完成升级，并于2022年7月推出LockBit3.0正式版本，LockBit3.0版本的勒索病毒又称为LockBit Black勒索病毒，最新版的勒索病毒主要在免杀方式又做了更进一步的加强，持续优化了安全软件的对抗能力，可以发现该勒索病毒开发人员不断在尝试和研究新的免杀攻击技术以逃避安全软件的检测。此前Conti勒索病毒和Babuk勒索病毒黑客组织的源代码、文档、视频等都曾因不同原因被泄露过，但是目前从泄露的内容来看，仅仅只是泄露了LockBit Black(3.0)的生成器文件，暂时还没有泄露LockBit Black(3.0)勒索病毒源代码等其他文件，有可能只是入侵了LockBit Black(3.0)勒索病毒的某个下线服务器,因为LockBit也是以RAAS平台模式运营的，笔者期待后面有更多的相关资料被泄露。该勒索病毒3.0版本推出来只有二个多月的时间，然而在它的暗网网站上，已经公布了二百多个受害者，如下所示：这也是为啥LockBit勒索病毒长期稳居第一的原因吧，是真的“卷”。生成器1.运行该勒索病毒生成器build.bat文件，生成该勒索病毒的病毒文件和解密工具，如下所示：从上面可以看到，生成了很多不同的勒索病毒样本(1)从文件类型上分为：EXE、DLL(2)从运行方式上分为：反射注入、利用Rundll32运行(3)从运行参数上分为：不带密码参数、带密码参数(4)从系统模式上分为：全局模式、安全模式EXE在全局模式和安全模式下带密码运行方式，如下所示：DLL在全局模式和安全模式下带密码运行方式，如下所示：笔者发现现在越来越多的勒索病毒黑客组织喜欢使用这种带密码的攻击方式，其主要作用还是为了逃避安全分析人员和安全产品的检测。2.该勒索病毒加密后的文件，如下所示：3.生成的勒索提示信息文件，如下所示：4.修改后的桌面背景，如下所示：5.运行该勒索病毒的解密工具，如下所示：6.可以完美解密，如下所示：测试完毕，该生成器确实为LockBit3.0勒索病毒的完整生成器，但是该攻击团队是否是拿到了LockBit3.0勒索病毒黑客组织核心服务器的文件，还是只是拿到了某个下线的服务器，需要等后续看是否会有更多的相关文件曝光了，持续关注中。总结勒索病毒相关的笔者已经讲了很多了，这里就不重复了，有兴趣的可以去参考笔者之前的文章《关于勒索病毒你不得不懂的知识点》，安全是一个长期坚持，持续对抗的过程，攻防对抗一直存在，安全的乐趣也许就是在于不断的去研究黑客组织的最新攻击武器和攻击技巧。笔者一直从事与恶意软件威胁情报等相关安全分析与研究工作，包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等，涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS)，笔者做安全研究的兴趣就是喜欢研究一些最新的恶意软件家族样本，跟踪国内外报道的各种安全事件中涉及到的攻击样本等，通过详细分析各种安全攻击事件中涉及的样本、漏洞和攻击技巧等，可以了解全球黑客组织最新的攻击技术以及攻击活动趋势等，同时还可以推判出他们大概准备做什么，发起哪些攻击活动，以及客户可能会受到什么危害等，通过研究全球的黑客组织以及攻击活动，做到知已知彼，各位读者朋友如果有遇到什么新的恶意软件家族样本或最新的家族变种都可以私信发给笔者，感谢给笔者提供样本的朋友们！本文作者：王正笔名：熊猫正正恶意软件研究员长期专注于全球各种流行恶意软件的分析与研究，深度追踪全球黑客组织的攻击活动，擅长各种恶意软件逆向分析技术，具有丰富的样本分析实战经验，对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、APT攻击类样本都有深入的分析与研究

声明：本文来自安全分析与研究，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。

病毒木马

勒索软件

主页面 | The No More Ransom Project

No more Ransom

主页面

解码刑警

勒索软件需知

罪案防范建议

解密工具

举报罪案

合作伙伴

关于本计划

Bahasa Indonesia Dansk Deutsch English Español Français Italiano Latviešu Lietuvių Magyar Malay Nederlands Norsk Papiamentu Polski Português Română Slovenčina Slovenščina Suomi Svenska Türkçe eesti hrvatski Čeština ελληνικά Русский Українська български עברית العربية فارسی தமிழ் ไทย 中文中文(正體) 日本語 한국어

需要帮助想在无需支付赎金的情况下为您的文件解锁吗*？

是

否

目前并不是每种类型的勒索软件都有相应的解决方案。欢迎您继续浏览本网站，我们将不时添加新密钥和应用程序。

勒索软件是一种能将您的电脑和移动设备上锁或能加密您的电子文件的恶意软件。当这种情况发生时，除非您支付赎金，您将无法取得您的数据。支付赎金也无法保证为您的文件解锁，您不应该付款！

Rhysida勒索软件的新解密器已供下载，请点击此处。Lockbit 3.0勒索软件的新解密器已供下载，请点击此处。Akira勒索软件的新解密器已供下载，请点击此处。Ragnar勒索软件的新解密器已供下载，请点击此处。Bianlian勒索软件的新解密器已供下载，请点击此处。

好消息

您可以采取预防措施。只需遵循简单的网络安全建议，即可避免成为勒索软件的受害者。

坏消息

不幸的是，在许多情况下，一旦勒索软件感染了您的设备，除非您有备份或安全软件，否则您将束手无策。

好消息

即便如此，受影响的用户还是可能在无需支付赎金的情况下，重新获得对其加密文件或锁定系统的访问权。我们创建了一个密钥和应用程序储存库，可以解密由不同类型的勒索软件上锁的数据。

解码

以上这些勒索软件已不足以构成威胁了。如果您的设备感染了以上其中一种类型的勒索软件，请点击其名称的链接以使用对应的解密工具。

查看全部

RhysidaLockbit 3.0AkiraRagnarBianlianRanHassanMegaCortexMafiaWare666SolidbitOnyx2ChaosLockerGoga

Ransomware Q&A

了解一些最常见问题的答案。

阅读所有问题和答案

我该支付赎金吗？

为什么很难找到针对勒索软件的单一解决方案？

谁可能成为勒索软件的受害者？

The general advice is not to pay the ransom. By sending your money to cybercriminals you’ll only confirm that ransomware works, and there’s no guarantee you’ll get the decryption key you need in return.

Europol

Politie

网络服务技术支持：

Amazon Web Services

Barracuda

网站免责声明

回到顶部

We use cookies on No More Ransom's website to support technical features that enhance your user experience. For more information, see our Website Disclaimer.

OK, I'VE READ IT

犯罪成本越来越低：三步即可傻瓜化制作勒索软件-腾讯云开发者社区-腾讯云

越来越低：三步即可傻瓜化制作勒索软件-腾讯云开发者社区-腾讯云FB客服犯罪成本越来越低：三步即可傻瓜化制作勒索软件关注作者腾讯云开发者社区文档建议反馈控制台首页学习活动专区工具TVP最新优惠活动文章/答案/技术大牛搜索搜索关闭发布登录/注册首页学习活动专区工具TVP最新优惠活动返回腾讯云官网FB客服首页学习活动专区工具TVP最新优惠活动返回腾讯云官网社区首页 >专栏 >犯罪成本越来越低：三步即可傻瓜化制作勒索软件犯罪成本越来越低：三步即可傻瓜化制作勒索软件FB客服关注发布于 2018-02-06 11:31:221.1K0发布于 2018-02-06 11:31:22举报文章被收录于专栏：FreeBufFreeBuf微信号：freebufMcAfee在暗网中发现了一款专门制作勒索软件的工具，使用这款软件，3步你就能制作勒索软件了。地下犯罪市场很容易找到这些恶意软件生成器，它们能让你通过现有模板制作恶意软件。McAfee的研究人员发现了新趋势是这种工具现在被用来制作勒索软件了。勒索软件这种类型的恶意软件在犯罪分子的生态圈中越来越流行，骗子想要抓住这种新的机遇。勒索软件制作工具被叫做Tox的勒索软件制作工具5月19日出现在暗网上，而且提供免费下载。提供软件的地址为:

toxicola7qwv37qj.onion该款勒索软件一旦在Windows系统打开，就会加密所有文件。一旦整个过程完成，它就会显示一条信息，要求机主支付赎金到一个比特币地址，才能解密文件。”作者解释道，制作一款勒索软件只需几步:1、决定赎金数量

2、输入“缘由”

3、提交验证码赎金73分成分配Tox的作者要从受害者支付的赎金中抽走一定比例，他们通过使用比特币和Tor网络来确保支付与恶意软件传播的匿名性。Tox的作者们保证他们所生成的恶意软件被杀毒软件检测到的概率非常低。关于恶意软件的传播，最常见的方法就是把它作为邮件附件大量发送。当受害者支付的比特币会转到买家的账户上。恶意软件作者会从中收取30%的费用——就是说，如果你收到了100美元的赎金，你拿70元，作者拿30元……Tox的关键特性:Tox免费。你只需在网站上注册。

Tox依赖Tor和比特币，这保证了一定程度的匿名性。

生成的恶意软件跟宣传中的一样。

恶意软件对反病毒软件的规避能力较强，也就是说受害者得要有额外的手段(如HIPS、白名单、沙盒)才能捕捉到恶意软件。Tox这种犯罪即服务(crime-as-a-service)的形式简单而有效，恶意软件生成器会生成一个大概2MB大小的可执行文件，伪装成.scr文件。Tox的用户可以凭自己喜好传播恶意软件，但是Tox的隐藏服务会跟踪任何安装行为和相关的转账行为。Tox用户在他们注册时提供的比特币地址受到他们的赎金。软件分析McAfee安全专家认为这款恶意软件似乎不够复杂，因为开发者的代码中有几处标识字串：“Tox恶意软件生成器是通过MinGW编译的，通过Crypto++库对客户端文件进行AES加密。微软的CryptoAPI被用来生成密钥。”Tox的恶意软件先会下载必要组件，包括Curl和Tor客户端。专家指出，很多其他的犯罪分子也会使用这种赚钱的模式，他们还估计，恶意软件作者会改进他们软件的免杀能力，还会对流量进行加密。* 参考来源SecurityAffairs，vulture翻译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）本文参与腾讯云自媒体分享计划，分享自微信公众号。原始发表：2015-05-27，如有侵权请联系 cloudcommunity@tencent.com 删除安全漏洞安全本文分享自 FreeBuf 微信公众号，前往查看如有侵权，请联系 cloudcommunity@tencent.com 删除。本文参与腾讯云自媒体分享计划，欢迎热爱写作的你一起参与！安全漏洞安全评论登录后参与评论0 条评论热度最新登录后参与评论推荐阅读LV.关注文章0获赞0相关产品与服务验证码腾讯云新一代行为验证码（Captcha），基于十道安全栅栏，为网页、App、小程序开发者打造立体、全面的人机验证。最大程度保护注册登录、活动秒杀、点赞发帖、数据保护等各大场景下业务安全的同时，提供更精细化的用户体验。免费体验产品介绍产品文档2024新春采购节领券社区专栏文章阅读清单互动问答技术沙龙技术视频团队主页腾讯云TI平台活动自媒体分享计划邀请作者入驻自荐上首页技术竞赛资源技术周刊社区标签开发者手册开发者实验室关于社区规范免责声明联系我们友情链接腾讯云开发者扫码关注腾讯云开发者领取腾讯云代金券热门产品域名注册云服务器区块链服务消息队列网络加速云数据库域名解析云存储视频直播热门推荐人脸识别腾讯会议企业云CDN加速视频通话图像分析MySQL 数据库SSL 证书语音识别更多推荐数据安全负载均衡短信文字识别云点播商标注册小程序开发网站监控数据迁移Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云版权所有深圳市腾讯计算机系统有限公司 ICP备案/许可证号：粤B2-20090059 深公网安备号 44030502008569腾讯云计算（北京）有限责任公司京ICP证150476号 | 京ICP备11018762号 | 京公网安备号11010802020287问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档Copyright © 2013 - 2024 Tencent Cloud.All Rights Reserved. 腾讯云版权所有登录后参与评论00

解码刑警 | The No More Ransom Project

No more Ransom

主页面

解码刑警

勒索软件需知

罪案防范建议

解密工具

举报罪案

合作伙伴

关于本计划

解码刑警

为了帮助我们确定感染您设备的勒索软件类型，请填写以下表格，以便我们检查储存库是否有应对的解决方案。如果有，我们将为您提供解密方案的下载链接。

发送文件进行扫描，即代表我接受数据供应条例.

在这里上传加密文件（大小不得大于1 MB）

从电脑中选择第一个文件

从电脑中选择第二个文件

请在下方输入“勒索邮件”中看到的任何电邮或/和网站地址。注意：拼写需准确。

或上传罪犯留下的勒索文件（.txt或.html）

立即了解是哪种勒索软件类型

Europol

Politie

网络服务技术支持：

Amazon Web Services

Barracuda

网站免责声明

回到顶部

We use cookies on No More Ransom's website to support technical features that enhance your user experience. For more information, see our Website Disclaimer.

OK, I'VE READ IT

ANDROID勒索软件黑产研究 ——恶意软件一键生成器 - 知乎

ANDROID勒索软件黑产研究 ——恶意软件一键生成器 - 知乎首发于安全客切换模式写文章登录/注册ANDROID勒索软件黑产研究 ——恶意软件一键生成器小安有思想的安全新媒体作者：360烽火实验室 & 360手机卫士投稿方式：发送邮件至linwei#http://360.cn，或登陆网页版在线投稿摘要2017年1月至9月，360烽火实验室共捕获手机勒索恶意软件50万余个，平均每月捕获手机勒索软件5.5万余个。语音识别、二维码和文件加密等新型勒索软件不断涌现。社交网络服务被滥用，2017年前三季度，360烽火实验室发现勒索信息中新增QQ号码7.7万余个，QQ群号码1千余个。其中，一季度新增QQ号码和QQ群号码数量均为最多，第二、三季度逐渐下降，与一季度相比二季度下降23.0%，三季度下降56.8%。大部分勒索信息中都会同时出现QQ号和QQ群号。在相似页面布局的勒索页面中，变化是只是QQ号而QQ群号基本不变。锁机源码、测试视频、视频教程、软件源码及制作工具等等上传到群文件中，共享给群里其他人，甚至还有人制作木马一键生成器。通QQ群查询“锁机”关键字得到的结果，带有“锁机”关键字标签的QQ群有200余个，由此可见QQ群是勒索软件的主要传播源。大部分一键生成器由简易工具AIDE制作而成，一键生成器能够制作22种不同类型的软件，其中包括了12种不同类型的勒索软件、6种钓鱼软件、2种套路软件、1种拦截马软件以及1种表白软件。生成流程包括三个部分，选择生成软件的类型、填写生成软件的配置信息和添加生成软件ROOT锁。第一章研究背景一、手机勒索软件肆虐严重今年5月，WannaCry勒索病毒全球大爆发，至少150个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业，造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后，无法正常工作，影响巨大。面对这突如其来的病毒攻击，勒索软件成为人们热点关注的话题。相比PC的勒索软件，手机勒索软件近年来在数量和种类上也得到了逐渐迅猛发展演变。2017年1月至9月，360烽火实验室共捕获手机勒索恶意软件50万余个，平均每月捕获手机勒索软件5.5万余个。其中1月到5月手机勒索软件呈现波动式增长，6月份网警在芜湖、安阳将勒索病毒制作者男子陈某及主要传播者晋某抓获，全国首例手机勒索病毒案告破，在6月份以后新增数量急剧下降，手机勒索软件制作者得到了一定震慑作用。图1二、新型勒索软件不断涌现今年我们发现了勒索软件使用的三种新型的技术手段：语音识别、二维码和文件加密。语音识别采用STT（Speech to Text）技术，不再使用手动键入密码来解锁，通过使用者的语音输入，进行识别、匹配从而进行解锁；二维码技术手段是通过扫描制马人生成的二维码进行转账支付勒索金额，整个转账过程中双方信息交互仅为微信用户的昵称与转账账目相关信息，微信用户的昵称可以随意改变且不唯一，转账过程中不涉及双方微信账号的信息，转账后无法自动解锁，让受害者再次陷入制马人的骗局中。http://w.url.cn/s/ANLSjLF (二维码自动识别)图2 文件加密类型的勒索软件，虽然在国外早已出现，但在国内之前还并不常见，在受到了PC端的WannaCry勒索病毒大爆发影响后，国内开始出现仿冒页面布局、图片及功能的手机版WannaCry勒索病毒，甚至将手机版可编译的源码上传至Github。图3今年6月，我们发现了一款冒充时下热门手游“王者荣耀”辅助工具的手机勒索恶意软件，会对手机中照片、下载、云盘等目录下的个人文件进行加密。并向用户勒索赎金，金额在20元、40元不等。并且宣称三天不交赎金，价格将翻倍，七天不交，将删除所有加密文件。这个恶意软件由于可以在加密算法、密钥生成算法上进行随机的变化，甚至可以选择对生成的病毒样本进行加固混淆，很大程度上增加了修复难度，对手机中文件和资料造成了严重破坏。第二章社交网络成为勒索软件主要传播渠道一、QQ服务被滥用我们发现勒索软件在勒索页面的设计和文字上都有很多相似的地方，其中最为典型的特征是勒索页面中都留有制马人联系方式，方便中招的受害者与制马人联系，以便制马人对受害者进行敲诈勒索，这些联系方式几乎都是QQ号或者是QQ群。图42017年前三季度，360烽火实验室发现勒索信息中新增QQ号码7.7万余个，QQ群号码1千余个。其中，一季度新增QQ号码和QQ群号码数量均为最多，第二、三季度逐渐下降，与一季度相比二季度下降23.0%，三季度下降56.8%。图5二、QQ群是主要传播源（一）QQ与QQ群关系通过对勒索软件预留的QQ号与QQ群的分析，我们发现大部分勒索信息中都会同时出现QQ号和QQ群号。在相似页面布局的勒索页面中，变化是只是QQ号而QQ群号基本不变。图6例如，QQ群号30****23，与该号码同时出现有325个不同的QQ号，包含这些QQ号的勒索软件6千余个。2017年上半年，通过该QQ群传播的勒索软件累计感染手机近1万部。感染地区覆盖全国30多个省市，感染量最多的三个地区是北京（47.0%）、江苏（35.0%）、广东（4.0%）。图7（二）QQ群共享资源我们进到一些锁机QQ群后发现，群里有人将一些锁机源码、测试视频、视频教程、软件源码及制作工具等等上传到群文件中，共享给群里其他人，甚至还有人制作木马一键生成器。这种一键生成器操作简单，不需要具备编程知识而且能够自定义生成多种类型的手机恶意软件。由于使用门槛低，造成了勒索软件从数量、类型上的不断增长与变化。图8三、传播影响与范围通QQ群查询“锁机”关键字得到的结果，带有“锁机”关键字标签的QQ群有200余个，由此可见QQ群是勒索软件的主要传播源。图9第三章勒索软件定制与工厂化一、大部分一键生成器由简易工具制作而成勒索软件一键生成器不仅能够根据需求定制手机恶意软件尤其是勒索软件，而且还能够批量生产进入工厂化模式，这种一键生成器与大部分国内勒索软件，同样是使用AIDE开发工具开发。AIDE是一款用于直接在Android设备上开发Android应用程序的集成开发环境（IDE）。支持编写-编译-调试运行整个周期，开发人员可以在Android手机或者平板机上创建新的项目，借助功能丰富的编辑器进行代码编写，支持实时错误检查、代码重构、代码智能导航、生成APK，然后直接安装进行测试。使用AIDE能降低软件作者的学习成本和开发门槛，同时拥有更灵活和快速修改代码的能力。创建APP工程图10APP编译签名图11二、一键生成器介绍我们从某安卓锁机源码QQ群中下载到名为“APP梦工厂”的一键生成器。图12经过分析，一键生成器包结构主要有两部分构成，一部分是定制模板，另一部分是签名工具，均存放在APK包的assets资源文件夹下。图13生成模板共有22种不同类型的软件，其中包括了12种不同类型的勒索软件、6种钓鱼软件、2种套路软件、1种拦截马软件以及1种表白软件。图14签名工具使用的是Android测试证书。图15三、生成器制作流程（一）选择生成软件的类型选择花式锁屏，类型包含固定密码生成、序列号生成、网页生成、电话生成、隐藏输入框生成、声控生成、魔幻粒子版远程修改密码生成、时钟生成、百变序列号生成、摇一摇生成、序列号图案生成和远程修改密码生成。图16选择消息转发，类型包括消息转发（手机号版）和消息转发（邮箱版）图17选择消息反馈，类型包括消息反馈1（手机号版）、消息反馈1（邮箱版）、消息反馈2（手机号版）和消息反馈2（邮箱版）图18选择表白软件，只有一种类型无声的表白图19选择套路软件，类型包括金典手机服务和王者荣耀礼包图20（二）填写生成软件的配置信息需要选择图标、软件背景图文件路径、填写软件名称、PIN码、解锁密码以及页面上显示的文字内容。图21这些自定义的勒索软件配置信息，被插入到生成器的模版文件中，重新签名后在SD卡目录下生成定制的APK文件。图 22（三）添加生成软件ROOT锁这里添加ROOT壳，并不是指APK的加固加壳。而是指将之前一键生成的勒索软件以子包的形式隐藏在另一个软件中，后者伪装成正常软件安装运行后会通过一些文字提示诱导用户授予ROOT权限，同时将前者安装到手机系统软件目录中，这种子母包组合的锁机方式被制马人称为“ROOT壳”。一般伪装的正常软件都与ROOT、清理加速、文件管理相关，主要因为从这些软件的功能上，更容易让人们授予ROOT权限，从而更加顺利的隐藏到系统目录中。图23结束语社交网络的飞速发展，让人与人之间的沟通变得更加方便。由于社交网络平台的灵活多变，也让一些人能够更加轻松的获取、传播恶意软件，平台的监管也带来了更大的困难。制马人肆无忌惮制作、传播勒索软件进行勒索敲诈，并且大胆留下自己的QQ、微信以及支付宝账号等个人联系方式，主要是因为他们年龄小，法律意识淡薄，认为涉案金额少，并没有意识到触犯法律。甚至以此作为赚钱手段，并作为向他人进行炫耀的资本，加速了手机勒索软件的演变。恶意软件一键生成器取代了人工繁琐的代码编写、编译过程，进一步降低了制作门槛，不仅生成速度变快，并且能够根据需要进行定制。自从WannaCry勒索病毒全球大爆发后，国内效仿的勒索软件层出不穷。以加密文件方式进行敲诈勒索的手机勒索恶意软件逐渐出现，改变了之前的手机锁屏勒索的方式。手机勒索软件技术上更加复杂，造成的用户额外损失更加严重，同时也给安全厂商带来更大的挑战。发布于 2017-11-15 21:06恶意软件Android勒索病毒赞同 122 条评论分享喜欢收藏申请转载文章被以下专栏收录安全客安全客，致力于传播有思想的安

Lockbit 3.0勒索病毒加密程序分析报告 - 知乎

Lockbit 3.0勒索病毒加密程序分析报告 - 知乎切换模式写文章登录/注册Lockbit 3.0勒索病毒加密程序分析报告solar解密团队更多敬请关注微信公众号：solar专业应急响应团队。0x1背景：　　在2022年，LockBit是全球规模最大的勒索软件变种，且在2023年继续肆虐。自2020年1月以来，使用LockBit的附属机构已针对各个规模的关键基础设施领域的组织进行了攻击，包括金融服务、食品和农业、教育、能源、政府和紧急服务、医疗保健、制造和交通等。LockBit勒索软件运营采用了勒索软件即服务（RaaS）模式，招募合作伙伴利用LockBit勒索软件工具和基础设施进行勒索软件攻击。由于这一行动中存在大量未连接的附属机构，观察到的LockBit勒索软件攻击在策略、技术和程序（TTP）方面呈现出明显的差异。这种观察到的勒索软件TTP差异给致力于维护网络安全和防范勒索软件威胁的组织带来了重大挑战。　　然而，在 2022 年 9 月，Twitter 用户 3xp0rtblog 宣布该勒索软件的构建器已被 ali_qushji 泄露，可以从 GitHub 上下载。图 1：LockBit 3.0 Builder 在 Twitter 上泄露　　"招募合作伙伴"：是指LockBit勒索软件运营者主动寻找和吸纳其他人或组织作为合作伙伴或下属，共同参与勒索软件攻击活动。图 2：LockBit 3.0 构建器　　一旦提取完成，构建器将包含图2中展示的文件，其中Build目录是空的。通过运行Build.bat文件（包括图3中展示的内容），可以自动执行构建过程，并使用勒索软件的独特实例填充Build目录。生成的文件将呈现为图4所示。图 3：Build.bat 的内容　　构成 Build.bat 的命令，清除 Build 目录，然后调用 keygen 以生成公钥和私钥加密密钥。builder.exe构建工具提供各种命令行选项，生成不同版本的 LockBit 3.0 勒索软件。　　在Build.bat文件中，可以使用以下命令来实现：　　清除Build目录：del /s /q Build\*　　调用keygen生成公钥和私钥加密密钥：Keygen　　生成LockBit 3.0勒索软件的不同变体：builder --variant=variant1

builder --variant=variant2

builder --variant=variant3图 4：Build.bat 的内容0x2 生成文件说明LB3.exe – 已编译的勒索软件，不需要密码；LB3Decryptor.exe – 勒索软件的解密器，适用于此处的所有变体；LB3_pass.exe – 与 LB3 相同.exe但需要密码才能运行。密码和说明可在此目录中的Password_exe.txt中找到；LB3_RelectiveDLL_DLLMain.dll – 旨在反射加载并在内存中执行的勒索软件版本；LB3_Rundll32.dll – 勒索软件的 DLL 版本，不需要密码；LB3_Rundll32_pass.dll – 勒索软件的 DLL 版本，需要在 Password_dll.txt 文件中找到的密码；Password_dll.txt – 包含密码和使用说明LB3_Rundll32_pass.dll；Password_exe.txt – 包含密码和使用说明LB3_pass.exe；priv.key – 此版本唯一的私有加密密钥，用于加密受害者文件；pub.key – 此版本独有的公共加密密钥，用于生成各种字符串，将此勒索软件实例与受害者联系起来。keygen.exe　　Build.bat 文件首先调用的可执行文件是 keygen.exe。它会为每个构建生成一个独特的加密密钥对和解密标识。根据其描述，Keygen 似乎严重依赖于 MIRACL，这是一个被开发人员广泛认为是椭圆曲线密码学黄金标准的开源 SDK 的 C 软件库。生成的密钥经过 base64 编码并保存到 priv.key 和 pub.key 文件中，然后将公钥的前八个字节转换为十六进制值并保存到 DECRYPTION_ID.txt 文件中，该文件用作唯一的受害者识别号。builder.exe　　根据前面的图4，builder.exe 文件会创建两个执行文件、三个动态链接库和两个文本文件。　　它需要现有的 config.json（图 2）和上一步中生成的 priv.key/pub.key 文件，如图 4 所示，builder.exe 文件本身也包含基本组件。在其资源部分有四个执行文件模板，每个用于构建加密器的 DLL 和 EXE 以及解密程序。图 5：builder.exe 资源按 ID 对每个资源进行描述：100 – 解密器模板文件101 – 可执行模板文件103 – DLL 模板文件106 – 启用反射加载的 DLL 模板文件配置文件 config.json 包含通常与勒索软件相关的选项，包括目标文件夹、要排除的文件以及需要终止的进程。如图 6 所示，它还包含用于调整勒索软件行为的设置选项，如下所示的默认选项可以在构建器中找到。图 6：配置选项　　此构建器配置允许针对特定目标环境调整生成的勒索软件。除了这些配置之外，还有以下选项：要排除的主机、文件、文件夹和文件扩展名停止和删除的流程和服务命令和控制域、URL 或 IP 的列表在受影响的系统上尝试的用户名和密码列表由于此勒索软件是高度可配置的，因此可能有许多不同的代码路径。0x3 Lockbit 3.0勒索病毒的分析　　Lockbit 3.0 使用了多种反分析技术来阻碍静态以及动态分析：入口使用保护壳保护代码保护函数混淆动态解析函数解密计算跳转反调试技术反沙盒技术　　对于安全研究人员来说，LockBit 3.0 是一个挑战，因为每个恶意软件实例都需要一个独特的密码才能运行，没有这个密码，分析将变得极其困难或不可能，该密码保存在生成器的目录下：　　程序入口进行了加壳混淆：　　该入口通过start的call函数进行解密：　　当恶意软件运行完loc_40639C函数后后，保护壳被脱掉：　　函数解密计算跳转：　　勒索软件会检查调试器：HEAP_TAIL_CHECKING_ENABLED （0x20）、 HEAP_VALIDATE_PARAMETERS_ENABLED （0x40000000）、LockBit 3.0 检查其PEB（过程环境块）中的值，以检查是否设置了：HEAP_VALIDATE_PARAMETERS_ENABLED。　　执行NtSetInformationThread 函数，函数参数的值为 0xFFFFFFFE 和 0x11 ，这会让勒索软件的线程无法被调试器的断点捕获到。　　在程序中，初始的反汇编代码集用于提高可读性，如图 16 所示。这段代码明显不正常，这些代码在调用 kernel32.ExitProcess() 函数后才执行，也就意味着永远无法执行到，只是模仿正常程序的一些函数使用，使其看起来似乎是个正常程序。图 16：输入函数　　LockBit 的函数都是通过hash运算进行匹对指定的函数名称，从而获取地址，“prepare_address_table_lookups”函数（如图 16 所示），该函数包含一个预先生成的哈希表，用于存储一组函数调用，从C:\Windows\System32 文件夹中手动查找所需的 DLL，并手动加载每个函数，进行哈希匹配，找到函数地址。创建哈希表和函数地址后，恶意软件执行完该函数,会释放并清除所有内存，以防止被分析。　　如图 16 所示，“check_priv_elevate_if_needed”函数顾名思义。权限提升是通过复制访问令牌来获取特权组中的成员身份来实现的。为了复制令牌，LockBit 3.0 执行了几个步骤：它将通过专门检查域管理员组中的成员身份来检查它是否已经具有足够的权限。如果权限不够，它将尝试向自身授予一个预定义列表中包含 15 个特权常量的访问令牌，其中大多数在以非特权用户身份运行时测试失败。之后，如果仍然没有所需的权限，LockBit 3.0 将找到操作系统进程explorer.exe，并直接调用 ZwOpenProcessToken 函数来读取explorer.exe 的访问令牌。然后，它调用 NtDuplicateToken 函数，传入新获取的令牌句柄，以请求对副本的扩展属性进行读取和写入访问。获得管理员权限图 17：复制explorer.exe进程令牌　　main 函数中的恶意软件做的第一件事就是检查并创建同步互斥锁。如果存在互斥锁，则进程将退出，确保一次只运行一个勒索软件实例。互斥锁是通过首先获取在pub.key文件中找到的提供的公钥的 MD5 哈希来创建的。生成的 MD5 哈希字符串格式为“{%08X-%04X-%04X-%02X%02X-%02X%02X %02X %02X %02X}”。接下来，计算此格式化字符串的 MD4 哈希值，并将结果传递给格式字符串“Global\%.8x%.8x%.8x%.8x”。例如，完成的互斥体值类似于Global\ea4ee28880136cbc44dff4ad5a53561f。　　接下来，LockBit 3.0 检查操作系统是否正常启动。如果 Windows 在安全模式下启动，勒索软件不会运行其大部分功能，而是设置一个注册表项以在下次正常启动时运行。　　在互斥锁就位并满足引导类型后，可执行文件的主要用途将以多线程方式启动。每个线程都具有其任务的特征。有些在进程的生命周期内连续运行，而另一些则仅临时运行一次以执行特定任务。停止服务：Windows Defender 　　第一个线程会删除 Windows 安全服务。这是通过利用 Trusted Installer 服务来实现的。Trusted Installer 是一个被广泛使用的受信任的安装程序，通常以其显示名称“Windows 模块安装程序”而知名，它主要用于下载和安装 Windows 更新和可选组件。如果 Trusted Installer 未在运行，则会启动该服务，并复制其访问令牌句柄，以允许当前线程访问大多数其他正在运行的服务。　　利用这个令牌，LockBit 3.0 枚举正在运行的服务，并停止并删除与 config.json 中预定义的服务之一匹配的任何服务。完成后，线程将退出，并且不会再次启动。图 18：通知 Windows 安全中心已停止　　在测试期间，短暂地显示一个小任务栏通知，通知用户 Windows 安全中心服务已停止。但是，由于该服务不仅已停止，而且还被删除，因此无法使用 Windows 通知重新启动该服务。服务描述wscsvcWindows 安全中心服务SppsvcMicrosoft 软件保护服务-许可WdbootWindows defender ELAM（早期启动反恶意软件）驱动程序WdfiterWindows defender微型筛选器驱动程序WdnisdrvWindows defender防病毒网络检查系统驱动程序WdnissvcWindows defender网络检查服务WindefendWindows defender服务　　请务必考虑 Windows 安全服务是此处的目标，因为这些服务列在默认的config.json 文件中。如果威胁参与者使用此构建器列出其他服务，则很可能会停止其他服务。图 19：服务已停止和删除　　删除服务之后，恶意软件将启动几个额外的线程。图 12 中的屏幕截图展示了运行时间最长的线程。第一个优先级是启动处理 Windows 回收站中文件的线程，然后是用于监视和终止 SQL 进程的线程。接下来有一个专门用于将赎金记录写入目录的线程。最后启动的线程是用于对文件进行加密的线程。在下面的屏幕截图中，有三个线程专门用于此操作，但线程数量是动态的，并且会根据可用的系统资源以及排队等待加密的项目的数量和类型而增加或减少。例如，标识为加密的网络资源与本地系统上的网络资源是分开处理的。图 20：一些 LockBit 3.0 线程0x4 Lockbit 3.0特性　　LockBit 勒索病毒为LockBit 2.0 升级版本，包含先前2.0所有功能，初始载荷交付给第三方C2（如Cobalt Strike）进行处理。　　LockBit 只在管理员权限执行，如果不存在权限则进行 Bypass UAC技术进行管理员权限提升。　　LockBit 3.0 将自身备份写入%programdata%目录，然后从此处启动进程。　　LockBit 3.0 加密阶段的速度极快，即使传播到相邻主机也同样如此。LockBit 3.0勒索软件的有效负载能够在不到一分钟的时间内完全加密我们的测试主机。　　在执行过程中，LockBit 3.0勒索软件会对桌面背景进行更改。１．回收站的文件无法恢复　　存在一个专门的线程来处理在回收站中找到的文件。回收站中的文件并未进行加密；相反，每个文件的内容会被替换为由0x10000字节块中随机生成的字节，然后再将其删除。因此，即使使用解密工具，回收站中的所有文件都无法恢复。２．终止sql检查　　一个独立的线程持续运行，监视并停止任何 SQL 进程。它通过每隔两秒获取一次服务列表来实现此目的。每个服务名称都会传递给isSQL()函数，该函数会查找与字符串"SQL"不区分大小写的任何匹配项。如果名称包含此序列，则会终止该进程。与许多其他线程不同，该线程在进程的生命周期内一直运行，以确保在LockBit 3.0执行勒索活动时，SQL进程不会超过两秒钟运行。图 21：停止SQL进程３．删除卷影副本　　有一个线程专门用于删除卷影副本。卷影副本是卷的快照，它在一个明确定义的时刻复制卷上保存的所有数据。这是通过调用 IWbemProvider COM 对象并启动进程内服务器以允许对 Windows 管理界面进行查询来完成的。使用它来执行 WMI 查询“SELECT * FROM Win32_ShadowCopy”，然后删除每个返回的卷影副本。４．写赎金记录　　赎金票据线程会检索并解密嵌入在config.json中定义的赎金票据。该注释将被写入每个未标记为排除的目录中。它的文件名由九个字母数字字符组成，后跟“.README.txt”（例如xEC9do6g6.README.txt）。前缀“.README.txt”是以先前生成的互斥GUID的MD5哈希的前6个字节进行base64编码而得到的。由于这种方法，系统上留下的所有赎金票据都具有相同的名称，但对于该系统是唯一的。５．加密　　文件使用 Salsa-20 算法进行加密。在加密线程期间，包含私钥的内存通过大量使用 RtlEncryptMemory 和 RtlDecyptMemory 进行保护，这使得私钥仅在必要时在内存中以未加密的方式可用。６．域控制器发现　　另一个线程会尝试使用在配置中找到的用户名和密码登录受感染的系统。默认情况下，配置文件(config.json)中的用户名和密码与管理帐户相关联。如果有任何登录成功，将评估令牌成员身份是否属于域管理员组，如果是，则进行复制操作。然后，另一个线程会查找并枚举可用的域控制器，获取每个控制器的名称，并尝试使用成功的用户名和密码进行远程登录。７．连接的驱动器和共享网络资源　　其他线程会检查连接的驱动器和网络资源，特别关注安装操作系统的驱动器和网络资源。无论情况如何，这些新发现的路径都将传递给生成其他加密线程的函数。８．网络流量　　命令和控制流量会通过TLS 1.2发送到config.json文件中列出的地址。不幸的是，在此TLS层下，变量及其值是经过AES加密的，并且每个请求的顺序都会被打乱。然而，POST请求的整体格式是一致的，如图14所示。我们始终可以观察到一个POST请求，后跟"/?"和一长串URL样式的variable=value对，用&符号分隔，然后是HTTP/1.1字段。User-Agent字符串是随机的，因此不应包含在签名中，但Connection、Accept-Encoding、Content-Type和Cache-Control字段是常量。数据部分的基本格式也是一致的，但长度可能会有所不同。图 22：POST请求　　尽管如果没有加密密钥，解密截获的网络流量几乎是不可能的，但以下示例提供了对传输信息的一般理解。图 22：JSON 格式的 Exfil 数据９．加密后修改壁纸　　加密后，桌面背景将更改为黑色，并带有白色文本，类似于图 14 中的示例。此外，加密文件的图标更改为下图，左上角所示的 LockBit “B” 图标。图 23：勒索桌面１０．解密器　　由于解密器是与构建器一起生成的，我们对其进行了操作和使用的测试。在运行时，将显示一个窗口，用户需要点击右侧的大按钮，上面标有“解密所有加密文件”。点击后，随着文件的解密，"所有解密文件"的计数器会逐渐增加。如图所示，应用程序将一直保持打开状态，但CPU使用率将停止处理文件，表明解密已完成。　　回收站没有恢复，所有卷影副本也已被擦除。对于所有常规文件，解密器确实有效，文件已正确恢复，并且LockBit桌面背景已被删除。LockBit 3.0 解密器0x5 MITRE ATT&CK TIDs0x6 入侵指标（IOC）IOC描述C2BC344F6DDE0573EA9ACDFB6698BF4CMD5生成器文件d6ae7dc2462c8c35c4a074b0a62f07cfef873c77SHA1 生成器文件a736269f5f3a9f2e11dd776e352e1801bc28bb699e47876784b8ef761e0062dbSHA256生成器文件71c3b2f765b04d0b7ea0328f6ce0c4e2MD5 注册机文件bf8ecb6519f16a4838ceb0a49097bcc3ef30f3c4SHA1 注册机文件ea6d4dedd8c85e4a6bb60408a0dc1d56def1f4ad4f069c730dc5431b1c23da37SHA256 注册机文件4d388f95a81f810195f6a8dfe86be755MD5 资源 100cb6fdb25a15b7797890fadc2b823984f93da5368SHA1 资源 100cc3d006c2b963b6b34a90886f758b7b1c3575f263977a72f7c0d1922b7feab92SHA256 资源 10087308ec0a44e79100db9dbec588260ecMD5 资源 101939ff7e5eeaccb0c2f4ee080a8e403e532b6317aSHA1 资源 10103b8472df4beb797f7674c5bc30c5ab74e8e889729d644eb3e6841b0f488ea95SHA256 资源 1014655a7ac60ed48df9b57648db2f567efMD5 资源 10302ea524429ba2aefac63fed27e924ab3659f8c00SHA1 资源 103a0db5cff42d0ee0de4d31cff5656ed1acaa6b0afab07d19f9f296d2f72595a56SHA256 资源 10323a30838502f5fadc97e81f5000c4190MD5 资源 1069c1142122370c9b28b13aa147c6e126b3be50845SHA1 资源 106ae993930cb5d97caa5a95b714bb04ac817bcacbbf8f7655ec43e8d54074e0bd7SHA256 资源 1060x7 Yara规则 import "pe"

rule LockBit_3_dll

{

meta:

author = "VMware TAU" //bdana

date = "2022-Oct-12"

description = "Identifies LockBit 3.0 DLL encryptor by exported function names."

rule_version = “1”

yara_version = "4.2.3"

exemplar_hash = “c2529655c36f1274b6aaa72911c0f4db7f46ef3a71f4b676c4500e180595cac6”

condition:

pe.exports("del") and

pe.exports("gdel") and

pe.exports("gdll") and

pe.exports("gmod") and

pe.exports("pmod") and

pe.exports("sdll") and

pe.exports("wdll")

}

rule LockBit_3_exe

{

meta:

author = "VMware TAU" //bdana

date = "2022-Oct-12"

description = "Identifies LockBit 3.0 exe encryptor section names, and artifact section names."

rule_version = “1”

yara_version = "4.2.3"

exemplar_hash = “5202e3fb98daa835cb807cc8ed44c356f5212649e6e1019c5481358f32b9a8a7”

strings:

$text = ".text" ascii wide

$itext = ".itext" ascii wide

$data = ".data" ascii wide

$rdata = ".rdata" ascii wide

$idata = ".idata" ascii wide

$xyz = ".xyz" ascii wide

$reloc = ".reloc" ascii wide

$bss = ".bss" ascii wide

condition:

#text > 2 and

#itext > 1 and

#data > 1 and

#rdata > 2 and

#idata > 3 and

$reloc and

$bss and $xyz and not

for any i in (0..pe.number_of_sections-1) : (

pe.sections[i].name == ".xyz" or

pe.sections[i].name == ".bss"

)

}发布于 2024-02-29 14:39・IP 属地山东黑客 (Hacker)数据加密勒索病毒赞同添加评论分享喜欢收藏申请

勒索病毒如何报案？ - 知乎

勒索病毒如何报案？ - 知乎首页知乎知学堂发现等你来答切换模式登录/注册恶意软件计算机病毒病毒学勒索病毒Wana Decrypt0r 2.0（计算机病毒）勒索病毒如何报案？关注者4被浏览16,946关注问题写回答邀请回答好问题添加评论分享4 个回答默认排序上海烽燃数据安全关注勒索病毒的技术门槛是如何降低的自勒索病毒被大家官方熟知以来，为了能在这个“有着光明前途的事业”中分一杯羹，越来越多的黑客也是八仙过海各显神通，尽自己所能的制作自己的勒索病毒。继之前我们发现的使用PHP、Python等语言编写勒索病毒之后，近期，另一种简单易用的脚本语言——AutoIt语言也被发现用于编写一种名为CryptoWire的勒索病毒。加上前段时间出现的使用AxCrypt加密工具来加密文件进而达到勒索目的的病毒，可以说勒索病毒的“技术准入门槛”越来越低已是大势所趋。如果说以上这些还算是有“门槛”可言的话，另外一种被称作RaaS的方式则可以说是完全没有“门槛”了。所谓RaaS即Ransomware-as-a-Service，如互联网安全中心前不久检测到的Saturn RaaS和Data Keeper RaaS就允许任何人注册该勒索服务并生成自己的勒索病毒。会脚本语言就能写勒索病毒——AutoIt勒索病毒CryptoWireAutoIt是一种简单易学的脚本语言，功能强大并且不需要运行系统中安装特定的运行环境，这都导致了即便是编程0基础的新手也能快速上手，并且让自己所编写的程序顺利在他人的机器上正常运行。前文所述的这款CryptoWire勒索病毒就是用AutoIt脚本语言编写。该病毒会尝试加密机器中可访问的所有位置中的文件，包括网络驱动器、网络共享目录、移动磁盘、外部磁盘、内部磁盘，甚至是云存储应用程序中的文件都不会漏过。 CryptoWire使用AES-256算法对文件进行加密操作，会对282种格式的文件进行加密。此外，如果检测到机器接入到了域中（多为企业内部机器），赎金将会乘4。勒索病毒怎样全球传播-1勒索病毒怎样全球传播-1282种待加密文件格式勒索病毒怎样全球传播-1勒索病毒怎样全球传播-1检测到机器接入域中则赎金乘4勒索病毒怎样全球传播-1勒索病毒怎样全球传播-1加密完成后的勒索信息不会脚本语言也能写勒索病毒——RaaS了解下？所谓RaaS即Ransomware-as-a-Service，可能很多人还不了解这套机制。简单的说，就是病毒作者开发了一款勒索病毒，但并不自己传播，而是邀请其他人来传播，并从每次成功赎金付款的抽成。为了吸引更多的客户，勒索病毒作者通常还会创建在线管理平台，以便尽可能轻松地部署和跟踪勒索软件。许多RaaS平台还提供定制选项，类似于勒索金额、加密文件格式、勒索信息语言等均可定制，某些平台甚至还很贴心的提供了在线的技术支持。以Data Keeper RaaS为例，在客户提供了收取勒索赎金用的比特币钱包地址勒索赎金金额后，会生成勒索病毒本体和对应的解密程序（但不含解密密钥）。发布于 2022-04-02 02:14赞同 1添加评论分享收藏喜欢收起歌曲风翔码农，不常看，偶尔回答，留言会看关注最好保留好证据，以及勒索方式，还有信息，再去报警发布于 2020-09-24 22:40赞同添加评论分享收藏喜欢收起

Android勒索软件黑产研究：恶意软件一键生成器-腾讯云开发者社区-腾讯云

oid勒索软件黑产研究：恶意软件一键生成器-腾讯云开发者社区-腾讯云昨天50还没用完Android勒索软件黑产研究：恶意软件一键生成器关注作者腾讯云开发者社区文档建议反馈控制台首页学习活动专区工具TVP最新优惠活动文章/答案/技术大牛搜索搜索关闭发布登录/注册首页学习活动专区工具TVP最新优惠活动返回腾讯云官网昨天50还没用完首页学习活动专区工具TVP最新优惠活动返回腾讯云官网社区首页 >专栏 >Android勒索软件黑产研究：恶意软件一键生成器Android勒索软件黑产研究：恶意软件一键生成器昨天50还没用完关注发布于 2018-06-29 15:02:151.6K0发布于 2018-06-29 15:02:15举报文章被收录于专栏：菜鸟程序员菜鸟程序员摘要2017年1月至9月，360烽火实验室共捕获手机勒索恶意软件50万余个，平均每月捕获手机勒索软件5.5万余个。语音识别、二维码和文件加密等新型勒索软件不断涌现。

社交网络服务被滥用，2017年前三季度，360烽火实验室发现勒索信息中新增QQ号码7.7万余个，QQ群号码1千余个。其中，一季度新增QQ号码和QQ群号码数量均为最多，第二、三季度逐渐下降，与一季度相比二季度下降23.0%，三季度下降56.8%。

大部分勒索信息中都会同时出现QQ号和QQ群号。在相似页面布局的勒索页面中，变化是只是 QQ号而QQ群号基本不变。

锁机源码、测试视频、视频教程、软件源码及制作工具等等上传到群文件中，共享给群里其他人，甚至还有人制作木马一键生成器。

通QQ群查询“锁机”关键字得到的结果，带有“锁机”关键字标签的QQ群有 200余个，由此可见QQ群是勒索软件的主要传播源。

大部分一键生成器由简易工具AIDE制作而成，一键生成器能够制作22种不同类型的软件，其中包括了 12种不同类型的勒索软件、6种钓鱼软件、2种套路软件、 1种拦截马软件以及1种表白软件。

生成流程包括三个部分，选择生成软件的类型、填写生成软件的配置信息和添加生成软件ROOT锁。关键词：移动安全、手机勒索、一键生成器一、手机勒索软件肆虐严重今年5月，WannaCry勒索病毒全球大爆发，至少150个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业，造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后，无法正常工作，影响巨大。面对这突如其来的病毒攻击，勒索软件成为人们热点关注的话题。相比PC的勒索软件，手机勒索软件近年来在数量和种类上也得到了逐渐迅猛发展演变。2017年1月至9月，360烽火实验室共捕获手机勒索恶意软件50万余个，平均每月捕获手机勒索软件5.5万余个。其中1月到5月手机勒索软件呈现波动式增长，6月份网警在芜湖、安阳将勒索病毒制作者男子陈某及主要传播者晋某抓获，全国首例手机勒索病毒案告破，在6月份以后新增数量急剧下降，手机勒索软件制作者得到了一定震慑作用。Android勒索软件黑产研究 ——恶意软件一键生成器图1二、新型勒索软件不断涌现今年我们发现了勒索软件使用的三种新型的技术手段：语音识别、二维码和文件加密。语音识别采用STT（Speech to Text）技术，不再使用手动键入密码来解锁，通过使用者的语音输入，进行识别、匹配从而进行解锁；二维码技术手段是通过扫描制马人生成的二维码进行转账支付勒索金额，整个转账过程中双方信息交互仅为微信用户的昵称与转账账目相关信息，微信用户的昵称可以随意改变且不唯一，转账过程中不涉及双方微信账号的信息，转账后无法自动解锁，让受害者再次陷入制马人的骗局中。Android勒索软件黑产研究 ——恶意软件一键生成器图2文件加密类型的勒索软件，虽然在国外早已出现，但在国内之前还并不常见，在受到了PC端的WannaCry勒索病毒大爆发影响后，国内开始出现仿冒页面布局、图片及功能的手机版WannaCry勒索病毒，甚至将手机版可编译的源码上传至Github。Android勒索软件黑产研究 ——恶意软件一键生成器图3今年6月，我们发现了一款冒充时下热门手游“王者荣耀”辅助工具的手机勒索恶意软件，会对手机中照片、下载、云盘等目录下的个人文件进行加密。并向用户勒索赎金，金额在20元、40元不等。并且宣称三天不交赎金，价格将翻倍，七天不交，将删除所有加密文件。这个恶意软件由于可以在加密算法、密钥生成算法上进行随机的变化，甚至可以选择对生成的病毒样本进行加固混淆，很大程度上增加了修复难度，对手机中文件和资料造成了严重破坏。第二章社交网络成为勒索软件主要传播渠道一、QQ服务被滥用我们发现勒索软件在勒索页面的设计和文字上都有很多相似的地方，其中最为典型的特征是勒索页面中都留有制马人联系方式，方便中招的受害者与制马人联系，以便制马人对受害者进行敲诈勒索，这些联系方式几乎都是QQ号或者是QQ群。Android勒索软件黑产研究 ——恶意软件一键生成器图42017年前三季度，360烽火实验室发现勒索信息中新增QQ号码7.7万余个，QQ群号码1千余个。其中，一季度新增QQ号码和QQ群号码数量均为最多，第二、三季度逐渐下降，与一季度相比二季度下降23.0%，三季度下降56.8%。Android勒索软件黑产研究 ——恶意软件一键生成器图5二、QQ群是主要传播源（一）QQ与QQ群关系通过对勒索软件预留的QQ号与QQ群的分析，我们发现大部分勒索信息中都会同时出现 QQ号和QQ群号。在相似页面布局的勒索页面中，变化是只是QQ号而 QQ群号基本不变。Android勒索软件黑产研究 ——恶意软件一键生成器图6例如，QQ群号30****23，与该号码同时出现有325 个不同的QQ号，包含这些QQ号的勒索软件6 千余个。2017年上半年，通过该QQ群传播的勒索软件累计感染手机近1万部。感染地区覆盖全国 30多个省市，感染量最多的三个地区是北京（47.0%）、江苏（35.0% ）、广东（ 4.0%）。Android勒索软件黑产研究 ——恶意软件一键生成器图7（二）QQ群共享资源我们进到一些锁机QQ群后发现，群里有人将一些锁机源码、测试视频、视频教程、软件源码及制作工具等等上传到群文件中，共享给群里其他人，甚至还有人制作木马一键生成器。这种一键生成器操作简单，不需要具备编程知识而且能够自定义生成多种类型的手机恶意软件。由于使用门槛低，造成了勒索软件从数量、类型上的不断增长与变化。Android勒索软件黑产研究 ——恶意软件一键生成器图8三、传播影响与范围通QQ群查询“锁机”关键字得到的结果，带有“锁机”关键字标签的QQ群有 200余个，由此可见QQ群是勒索软件的主要传播源。Android勒索软件黑产研究 ——恶意软件一键生成器图9第三章勒索软件定制与工厂化一、大部分一键生成器由简易工具制作而成勒索软件一键生成器不仅能够根据需求定制手机恶意软件尤其是勒索软件，而且还能够批量生产进入工厂化模式，这种一键生成器与大部分国内勒索软件，同样是使用AIDE开发工具开发。AIDE是一款用于直接在Android设备上开发Android应用程序的集成开发环境（IDE）。支持编写-编译-调试运行整个周期，开发人员可以在Android手机或者平板机上创建新的项目，借助功能丰富的编辑器进行代码编写，支持实时错误检查、代码重构、代码智能导航、生成APK，然后直接安装进行测试。使用AIDE能降低软件作者的学习成本和开发门槛，同时拥有更灵活和快速修改代码的能力。创建APP工程Android勒索软件黑产研究 ——恶意软件一键生成器图10Android勒索软件黑产研究 ——恶意软件一键生成器APP编译签名图11二、一键生成器介绍我们从某安卓锁机源码QQ群中下载到名为“APP梦工厂”的一键生成器。Android勒索软件黑产研究 ——恶意软件一键生成器图12经过分析，一键生成器包结构主要有两部分构成，一部分是定制模板，另一部分是签名工具，均存放在APK包的assets资源文件夹下。Android勒索软件黑产研究 ——恶意软件一键生成器图13生成模板共有22种不同类型的软件，其中包括了12种不同类型的勒索软件、6种钓鱼软件、2种套路软件、1种拦截马软件以及1种表白软件。Android勒索软件黑产研究 ——恶意软件一键生成器图14签名工具使用的是Android测试证书。Android勒索软件黑产研究 ——恶意软件一键生成器图15三、生成器制作流程（一）选择生成软件的类型选择花式锁屏，类型包含固定密码生成、序列号生成、网页生成、电话生成、隐藏输入框生成、声控生成、魔幻粒子版远程修改密码生成、时钟生成、百变序列号生成、摇一摇生成、序列号图案生成和远程修改密码生成。Android勒索软件黑产研究 ——恶意软件一键生成器图16选择消息转发，类型包括消息转发（手机号版）和消息转发（邮箱版）Android勒索软件黑产研究 ——恶意软件一键生成器图17选择消息反馈，类型包括消息反馈1（手机号版）、消息反馈1（邮箱版）、消息反馈2（手机号版）和消息反馈2（邮箱版）Android勒索软件黑产研究 ——恶意软件一键生成器图18选择表白软件，只有一种类型无声的表白Android勒索软件黑产研究 ——恶意软件一键生成器图19选择套路软件，类型包括金典手机服务和王者荣耀礼包Android勒索软件黑产研究 ——恶意软件一键生成器图20（二）填写生成软件的配置信息需要选择图标、软件背景图文件路径、填写软件名称、PIN码、解锁密码以及页面上显示的文字内容。Android勒索软件黑产研究 ——恶意软件一键生成器图21这些自定义的勒索软件配置信息，被插入到生成器的模版文件中，重新签名后在SD卡目录下生成定制的APK文件。Android勒索软件黑产研究 ——恶意软件一键生成器图 22（三）添加生成软件ROOT锁这里添加ROOT壳，并不是指APK的加固加壳。而是指将之前一键生成的勒索软件以子包的形式隐藏在另一个软件中，后者伪装成正常软件安装运行后会通过一些文字提示诱导用户授予ROOT权限，同时将前者安装到手机系统软件目录中，这种子母包组合的锁机方式被制马人称为“ROOT壳”。一般伪装的正常软件都与ROOT、清理加速、文件管理相关，主要因为从这些软件的功能上，更容易让人们授予ROOT权限，从而更加顺利的隐藏到系统目录中。Android勒索软件黑产研究 ——恶意软件一键生成器图23结束语社交网络的飞速发展，让人与人之间的沟通变得更加方便。由于社交网络平台的灵活多变，也让一些人能够更加轻松的获取、传播恶意软件，平台的监管也带来了更大的困难。制马人肆无忌惮制作、传播勒索软件进行勒索敲诈，并且大胆留下自己的QQ、微信以及支付宝账号等个人联系方式，主要是因为他们年龄小，法律意识淡薄，认为涉案金额少，并没有意识到触犯法律。甚至以此作为赚钱手段，并作为向他人进行炫耀的资本，加速了手机勒索软件的演变。恶意软件一键生成器取代了人工繁琐的代码编写、编译过程，进一步降低了制作门槛，不仅生成速度变快，并且能够根据需要进行定制。自从WannaCry勒索病毒全球大爆发后，国内效仿的勒索软件层出不穷。以加密文件方式进行敲诈勒索的手机勒索恶意软件逐渐出现，改变了之前的手机锁屏勒索的方式。手机勒索软件技术上更加复杂，造成的用户额外损失更加严重，同时也给安全厂商带来更大的挑战。本文参与腾讯云自媒体分享计划，分享自作者个人站点/博客。如有侵权请联系 cloudcommunity@tencent.com 删除前往查看其他本文分享自作者个人站点/博客前往查看如有侵权，请联系 cloudcommunity@tencent.com 删除。本文参与腾讯云自媒体分享计划，欢迎热爱写作的你一起参与！其他评论登录后参与评论0 条评论热度最新登录后参与评论推荐阅读LV.关注文章0获赞0目录摘要一、手机勒索软件肆虐严重第二章社交网络成为勒索软件主要传播渠道一、QQ服务被滥用（一）QQ与QQ群关系（二）QQ群共享资源第三章勒索软件定制与工厂化一、大部分一键生成器由简易工具制作而成（一）选择生成软件的类型（二）填写生成软件的配置信息（三）添加生成软件ROOT锁结束语相关产品与服务语音识别腾讯云语音识别（Automatic Speech Recognition，ASR）是将语音转化成文字的PaaS产品，为企业提供精准而极具性价比的识别服务。被微信、王者荣耀、腾讯视频等大量业务使用，适用于录音质检、会议实时转写、语音输入法等多个场景。产品介绍产品文档录音文件识别、一句话识别等多款语音产品新用户14.9元起

领券社区专栏文章阅读清单互动问答技术沙龙技术视频团队主页腾讯云TI平台活动自媒体分享计划邀请作者入驻自荐上首页技术竞赛资源技术周刊社区标签开发者手册开发者实验室关于社区规范免责声明联系我们友情链接腾讯云开发者扫码关注腾讯云开发者领取腾讯云代金券热门产品域名注册云服务器区块链服务消息队列网络加速云数据库域名解析云存储视频直播热门推荐人脸识别腾讯会议企业云CDN加速视频通话图像分析MySQL 数据库SSL 证书语音识别更多推荐数据安全负载均衡短信文字识别云点播商标注册小程序开发网站监控数据迁移Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云版权所有深圳市腾讯计算机系统有限公司 ICP备案/许可证号：粤B2-20090059 深公网安备号 44030502008569腾讯云计算（北京）有限责任公司京ICP证150476号 | 京ICP备11018762号 | 京公网安备号11010802020287问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档Copyright © 2013 - 2024 Tencent Cloud.All Rights Reserved. 腾讯云版权所有登录后参与评论00

LockBit勒索病毒生成器被泄露 - 知乎

LockBit勒索病毒生成器被泄露 - 知乎切换模式写文章登录/注册LockBit勒索病毒生成器被泄露熊猫正正安全分析与研究专注于全球恶意软件的分析与研究前言近日，国外某人在社交媒体论坛上宣称，自己的团队入侵了LockBit勒索病毒的服务器，并找到了LockBit Black(3.0)勒索病毒的生成器。LockBit勒索病毒首次攻击于2019年9月被发现，最开始被称作为ABCD勒索病毒，因为它加密后的文件后缀名为abcd，随后它加密后的文件后缀修改为lockbit,并被更名为LockBit勒索病毒，与大多数主流勒索病毒黑客组织一样，以RAAS(Ransomware-as-a-service)平台模式运营，并于2021年6月该勒索病毒推出了它的更新版本LockBit2.0，并加入了磁盘卷影和日志文件删除等新功能，同时还推出了它的专用窃密木马StealBit，对受害者进行双重勒索攻击，它是继GandCrab、Sodinokibi(REvil)等勒索病毒之后，成为全球最活跃的勒索病毒，同时该勒索病毒也号称是加密速度最快的勒索病毒。2022年6月，LockBit勒索病毒黑客组织再次完成升级，并于2022年7月推出LockBit3.0正式版本，LockBit3.0版本的勒索病毒又称为LockBit Black勒索病毒，最新版的勒索病毒主要在免杀方式又做了更进一步的加强，持续优化了安全软件的对抗能力，可以发现该勒索病毒开发人员不断在尝试和研究新的免杀攻击技术以逃避安全软件的检测。此前Conti勒索病毒和Babuk勒索病毒黑客组织的源代码、文档、视频等都曾因不同原因被泄露过，但是目前从泄露的内容来看，仅仅只是泄露了LockBit Black(3.0)的生成器文件，暂时还没有泄露LockBit Black(3.0)勒索病毒源代码等其他文件，有可能只是入侵了LockBit Black(3.0)勒索病毒的某个下线服务器,因为LockBit也是以RAAS平台模式运营的，笔者期待后面有更多的相关资料被泄露。该勒索病毒3.0版本推出来只有二个多月的时间，然而在它的暗网网站上，已经公布了二百多个受害者，如下所示：这也是为啥LockBit勒索病毒长期稳居第一的原因吧，是真的“卷”。生成器 1.运行该勒索病毒生成器build.bat文件，生成该勒索病毒的病毒文件和解密工具，如下所示：从上面可以看到，生成了很多不同的勒索病毒样本(1)从文件类型上分为：EXE、DLL(2)从运行方式上分为：反射注入、利用Rundll32运行(3)从运行参数上分为：不带密码参数、带密码参数(4)从系统模式上分为：全局模式、安全模式EXE在全局模式和安全模式下带密码运行方式，如下所示：DLL在全局模式和安全模式下带密码运行方式，如下所示：笔者发现现在越来越多的勒索病毒黑客组织喜欢使用这种带密码的攻击方式，其主要作用还是为了逃避安全分析人员和安全产品的检测。2.该勒索病毒加密后的文件，如下所示：3.生成的勒索提示信息文件，如下所示：4.修改后的桌面背景，如下所示：5.运行该勒索病毒的解密工具，如下所示：6.可以完美解密，如下所示：测试完毕，该生成器确实为LockBit3.0勒索病毒的完整生成器，但是该攻击团队是否是拿到了LockBit3.0勒索病毒黑客组织核心服务器的文件，还是只是拿到了某个下线的服务器，需要等后续看是否会有更多的相关文件曝光了，持续关注中。总结勒索病毒相关的笔者已经讲了很多了，这里就不重复了，有兴趣的可以去参考笔者之前的文章《关于勒索病毒你不得不懂的知识点》，安全是一个长期坚持，持续对抗的过程，攻防对抗一直存在，安全的乐趣也许就是在于不断的去研究黑客组织的最新攻击武器和攻击技巧。笔者一直从事与恶意软件威胁情报等相关安全分析与研究工作，包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等，涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS)，笔者做安全研究的兴趣就是喜欢研究一些最新的恶意软件家族样本，跟踪国内外报道的各种安全事件中涉及到的攻击样本等，通过详细分析各种安全攻击事件中涉及的样本、漏洞和攻击技巧等，可以了解全球黑客组织最新的攻击技术以及攻击活动趋势等，同时还可以推判出他们大概准备做什么，发起哪些攻击活动，以及客户可能会受到什么危害等，通过研究全球的黑客组织以及攻击活动，做到知已知彼，各位读者朋友如果有遇到什么新的恶意软件家族样本或最新的家族变种都可以私信发给笔者，感谢给笔者提供样本的朋友们！做安全，不忘初心，与时俱进，方得始终！安全分析与研究，专注于全球恶意软件的分析与研究，追踪全球黑客组织攻击活动，欢迎大家关注。王正笔名：熊猫正正恶意软件研究员长期专注于全球各种流行恶意软件的分析与研究，深度追踪全球黑客组织的攻击活动，擅长各种恶意软件逆向分析技术，具有丰富的样本分析实战经验，对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、APT攻击类样本都有深入的分析与研究心路历程：从一无所知的安全小白菜，到十几年安全经验的老白菜，安全的路还很长，一辈子只做一件事，坚持、专注，专业！发布于 2022-09-21 21:15黑客 (Hacker)生成器勒索病毒赞同添加评论分享喜欢收藏申请

Define ransomware, human-operated ransomware, and how to prevent ransomware cyber attack | Microsoft Learn

跳转至主内容

此浏览器不再受支持。

请升级到 Microsoft Edge 以使用最新的功能、安全更新和技术支持。

下载 Microsoft Edge

有关 Internet Explorer 和 Microsoft Edge 的详细信息

退出焦点模式

使用英语阅读

保存

使用英语阅读

保存

编辑

打印

Twitter

Facebook

电子邮件

What is ransomware?

项目

03/07/2024

2 个参与者

反馈

本文内容

In practice, a ransomware attack blocks access to your data until a ransom is paid.

In fact, ransomware is a type of malware or phishing cyber security attack that destroys or encrypts files and folders on a computer, server, or device.

Once devices or files are locked or encrypted, cybercriminals can extort money from the business or device owner in exchange for a key to unlock the encrypted data. But, even when paid, cybercriminals may never give the key to the business or device owner, and stop access permanently.

Protect your organization against ransomware and extortion to configure your IT infrastructure for the best ransomware protection.

How do ransomware attacks work?

Ransomware can be automated, or involve human hands on a keyboard -- a human operated attack.

Automated ransomware attacks

Commodity ransomware attacks are usually automated. These cyber attacks can spread like a virus, infect devices through methods like email phishing and malware delivery, and require malware remediation.

That means one ransomware prevention technique is to safeguard your email with a system like

Microsoft Defender for Office 365 that protects against malware and phishing delivery, Microsoft Defender for Endpoint to automatically detect and block suspicious activity on your devices, and Microsoft Defender XDR to detect malware and phishing attempts early.

Human-operated ransomware attacks

Human-operated ransomware is the result of an active attack by cybercriminals that infiltrate an organization's on-premises or cloud IT infrastructure, elevate their privileges, and deploy ransomware to critical data.

These "hands-on-keyboard" attacks usually target organizations rather than a single devices.

Human-operated also means there is a human attacker using their insights into common system and security misconfigurations to infiltrate the organization, navigate the network, and adapt to the environment and its weaknesses as they go.

Hallmarks of these human-operated ransomware attacks typically include credential theft and lateral movement with a elevation of the privileges in stolen accounts.

Activities might take place during maintenance windows and involve security configuration gaps discovered by cybercriminals. The goal is the deployment of a ransomware payload to whatever high business impact resources the attackers choose.

Important

These attacks can be catastrophic to business operations and are difficult to clean up, requiring complete adversary eviction to protect against future attacks. Unlike commodity ransomware that usually only requires malware remediation, human-operated ransomware will continue to threaten your business operations after the initial encounter.

The graphic below shows how extortion-based attacks are growing in impact and likelihood.

The impact and likelihood that human-operated ransomware attacks will continue

Ransomware protection for your organization

First, prevent phishing and malware delivery with Microsoft Defender for Office 365 to protect against malware and phishing delivery, Microsoft Defender for Endpoint to automatically detect and block suspicious activity on your devices, and Microsoft Defender XDR to detect to malware and phishing attempts early.

For a comprehensive view of ransomware and extortion and how to protect your organization, use the information in the Human-Operated Ransomware Mitigation Project Plan PowerPoint presentation.

Here's a summary of the guidance:

The summary of the guidance in the Human-Operated Ransomware Mitigation Project Plan

The stakes of ransomware and extortion-based attacks are high.

However, the attacks have weaknesses that can reduce your likelihood of being attacked.

There are three steps to configuring your infrastructure to exploit attack weaknesses.

For the three steps to exploit attack weaknesses, see the Protect your organization against ransomware and extortion solution to quickly configure your IT infrastructure for the best protection:

Prepare your organization to recover from an attack without having to pay the ransom.

Limit the scope of damage of a ransomware attack by protecting privileged roles.

Make it harder for an attacker to get into your environment by incrementally removing risks.

Download the Protect your organization from ransomware poster for an overview of the three phases as layers of protection against ransomware attackers.

Additional ransomware prevention resources

Key information from Microsoft:

The growing threat of ransomware, Microsoft On the Issues blog post on July 20, 2021

Rapidly protect against ransomware and extortion

2023 Microsoft Digital Defense Report

Ransomware: A pervasive and ongoing threat threat analytics report in the Microsoft Defender portal

Microsoft's Detection and Response Team (DART) ransomware approach and best practices and case study

Microsoft 365:

Deploy ransomware protection for your Microsoft 365 tenant

Maximize Ransomware Resiliency with Azure and Microsoft 365

Recover from a ransomware attack

Malware and ransomware protection

Protect your Windows 10 PC from ransomware

Handling ransomware in SharePoint Online

Threat analytics reports for ransomware in the Microsoft Defender XDR portal

Microsoft Defender XDR:

Find ransomware with advanced hunting

Microsoft Defender for Cloud Apps:

Create anomaly detection policies in Defender for Cloud Apps

Microsoft Azure:

Azure Defenses for Ransomware Attack

Maximize Ransomware Resiliency with Azure and Microsoft 365

Backup and restore plan to protect against ransomware

Help protect from ransomware with Microsoft Azure Backup (26 minute video)

Recovering from systemic identity compromise

Advanced multistage attack detection in Microsoft Sentinel

Fusion Detection for Ransomware in Microsoft Sentinel

Microsoft Security team blog posts:

For the latest list of ransomware articles in the Microsoft Security blog, click here.

3 steps to prevent and recover from ransomware (September 2021)

A guide to combatting human-operated ransomware: Part 1 (September 2021)

Automatic disruption of human-operated attacks through containment of compromised user accounts (October 2023)

Ransomware as a service: Understanding the cybercrime gig economy and how to protect yourself (May 2022)

Key steps on how Microsoft's Detection and Response Team (DART) conducts ransomware incident investigations.

A guide to combatting human-operated ransomware: Part 2 (September 2021)

Defenders beware: A case for post-ransomware investigations(October 2023)

Recommendations and best practices.

Becoming resilient by understanding cybersecurity risks: Part 4-navigating current threats (May 2021)

See the Ransomware section.

Human-operated ransomware attacks: A preventable disaster (March 2020)

Includes attack chain analyses of actual attacks.

Ransomware response-to pay or not to pay? (December 2019)

Norsk Hydro responds to ransomware attack with transparency (December 2019)

反馈

Coming soon: Throughout 2024 we will be phasing out GitHub Issues as the feedback mechanism for content and replacing it with a new feedback system. For more information see: https://aka.ms/ContentUserFeedback.

提交和查看相关反馈

此页面

查看所有页面反馈

其他资源

加州消费者隐私法案 (CCPA) 禁用图标

你的隐私选择

主题

亮

暗

高对比度

早期版本

博客

参与

隐私

使用条款

商标

其他资源

本文内容

加州消费者隐私法案 (CCPA) 禁用图标

你的隐私选择

主题

亮

暗

高对比度

早期版本

博客

参与

隐私

使用条款

商标