LockBit3.0的字符串解密方法

LockBit 与大多数勒索黑客团体一样以勒索软件即服务 (RaaS) 模式运行，该组织于 2019 年 9 月首次被观察到，此后发展为了今年最主要的勒索软件团伙，甚至超过了Conti、Hive等其他知名团体。据泄露数据站点的数据统计表明，LockBit占2022年第一季度所有与勒索软件相关的泄露事件的46%。仅在今年6月该组织就与44起网络攻击有关，LockBit显然已经成为最活跃的勒索软件团伙。

LockBit与BlackMatter极其相似，是因为其配置文件的解密与BlackMatter几乎如出一辙，许多配置数据需要单字节异或、APLIB解压缩、Base64编码等多种解码后方能看到原始数据。详情解密方法及脚本可以参考https://research.openanalysis.net/lockbit/lockbit3/yara/triage/ransomware/2022/07/07/lockbit3.html。

勒索软件运行中必须使用的字符串则通过在栈中异或0x4506DFCAh再取反后来解密字符串，字符串解密的IDApython脚本可以参考源项目https://github.com/StupidBird-Code/Malware_Analysize-Tools/blob/main/lockbit3.0_decrypt.py。

该解密字符串IDApython由本人编写,源代码如下：

from idaapi import *