文章总结： LockBit5.0勒索软件引入ChaCha20-Poly1305及椭圆曲线密码学加密，具备强反分析能力。其通过三步链条入侵、横向移动并禁用备份服务，极大增加检测恢复难度。鉴于该组织活跃度与高技术复杂度，企业应强化凭证管理与备份隔离措施以防御此类严重威胁。 综合评分： 88 文章分类： 恶意软件,威胁情报,逆向分析,数据安全,应急响应

LockBit 5.0 以先进的加密和反分析策略出现

原创

O安全研究员

O安全研究员

2026年1月7日 19:57 广东

LockBit 5.0 作为全球最活跃的勒索软件即服务行动之一的最新版本出现，延续了自2019年9月该组织出现以来的复杂攻击传统。

这一新版本代表了威胁领域的重大演变，引入了增强的加密机制和先进的反分析能力，使组织的检测和恢复变得极为困难。

该恶意软件通过协调的三步攻击过程运作：通过漏洞或被泄露的凭证进行初始系统访问，横向移动结合权限升级，最后在受害者网络中全面部署勒索软件。

LockBit 运营的财务影响依然令人震惊。2021年8月至2022年8月间，该组织声称对全球已知勒索软件攻击的30.25%负责。

即使执法部门加大对该组织的打击力度，LockBit依然保持主导地位，仅2023年就占勒索软件攻击的约21%。

包括IT、电子、律师事务所和宗教机构在内的公司都成为这些攻击的受害者，赎金支付和赔偿成本在全球范围内高达数十亿美元。

该组织的暗网平台继续公开列出被入侵组织及其被盗数据，作为施压手段。

ASEC分析师指出，LockBit 5.0引入了运行时的灵活性，即使部署时没有特定参数，也能正常运行。

该恶意软件终止卷影子复制服务相关进程，以防止系统恢复尝试，同时采用先进的打包和混淆技术，使静态安全分析复杂化。

最关键的是，该勒索软件采用了将ChaCha20-Poly1305用于文件加密、X25519和BLAKE2b用于安全密钥交换的先进密码算法，使得仅用本地系统信息无法恢复加密文件。

高级加密机制

加密过程代表了现代密码学实现的典范。

在启动文件加密之前，LockBit 5.0 会系统性地从标准 Windows 路径中删除临时文件，包括 AppData\Local\Temp 目录，移除不必要的缓存数据以加速加密过程。

随后，该恶意软件利用硬编码的哈希值禁用关键系统服务，针对包括 Veeam、Backup Exec 和 Microsoft Edge Update 服务在内的备份和安全解决方案，以消除竞争的保护机制。

实际的加密过程是通过复杂的数学过程实现的。该恶意软件根据系统时间和内存信息生成两个独立的32字节随机数。

利用椭圆曲线密码学，它推导出受害者的私钥，生成对应的公钥，并计算将受害者私钥与攻击者公钥结合的共享秘密值。

对于小于8兆字节的文件，第一个随机数经过BLAKE2b哈希生成一个32字节的加密密钥，随后生成一个64字节的ChaCha20密钥流。

该密钥流与目标数据进行异或作，生成最终加密文件。当文件超过阈值时，LockBit 5.0 将数据拆分为 8 兆字节的块，分别通过自定义哈希函数独立处理。

加密完成后，恶意软件会附加关键元数据，包括文件大小、加密随机数、认证值以及受害者的公钥，确保只有拥有私钥的攻击者才能解密数据。

这种技术复杂度反映了多年来勒索软件的发展，使LockBit 5.0成为当代威胁领域中最强大的威胁之一。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：O安全研究员 O安全研究员《LockBit 5.0 以先进的加密和反分析策略出现》