前情提要：LockBit 是自2019年以来最活跃的勒索软件组织之一，采用双重勒索策略并具备高度专业化运营能力。尽管在2024年遭遇国际打击并被揭露核心身份，该组织仍迅速恢复并于2025年推出LockBit 4.0版本。2025年5月，其运营数据库泄露暴露了大量内部细节。详情可见【独家揭秘】LockBit 4.0 解密器失效真相｜首发谈判日志＋万字深剖：发展脉络 · TTP 演进 · 2025最新 IOC

客户在遭遇勒索事件后因业务中断极为焦急，遂委托第三方公司代为与黑客进行谈判，并按照对方要求支付了巨额赎金，成功获取了解密器。然而在实际使用过程中发现，该解密器恢复效果极差：大量文件，尤其是体积较大的数据库文件未能成功解密，部分已“解密完成”的文件也严重损坏，无法正常打开或使用。第三方公司多次尝试再次联系黑客寻求技术支持，但对方已彻底失联，未再回应，导致数据恢复陷入困境。最终，第三方公司在无力解决问题的情况下，将客户引荐至我们团队，希望借助专业技术手段修复受损文件并挽回关键数据。

我们不建议受害者向黑客支付赎金购买所谓的恢复工具，因为在整个交易过程中主导权完全掌握在黑客手中，支付手段多为比特币等匿名加密货币，既难以追溯也无法保障交易安全，黑客可能在收款后拒绝提供解密工具，或者故意发送错误密钥，导致数据依然无法恢复，受害者也缺乏有效的申诉途径和法律保障，因此支付赎金不仅不能确保数据恢复，详情可参考文章【病毒分析】交了赎金也无法恢复--针对国内某知名NAS的LVT勒索病毒最新分析

为协助客户最大程度挽回损失，我们在获取原始解密器后，第一时间对其进行了逆向分析，最终发现其在处理大文件时存在明显逻辑缺陷。通过修复该问题，我们成功恢复了大量此前无法解密的关键数据文件。本文将重点介绍此次解密器逆向分析的关键过程与修复技术细节。

以下为该客户与 LockBit 黑客组织在赎金谈判期间的部分聊天记录截图。该谈判记录来源于2025年5月 LockBit 团伙被执法机构打击后泄露的大量运营数据，我们通过对其中的谈判日志进行梳理和还原，成功定位到该客户的完整交互过程。目前，该谈判页面已被黑客关闭，原始对话 ID 无法通过公开入口访问。我们已将相关内容导入至 SAR 勒索情报平台的“谈判分析”模块，并对其语义内容进行归类标注，平台也集成了“一键翻译”功能，帮助用户高效、直观地理解英文沟通中的关键威胁、推脱话术及赎金策略。

[图1] 客户支付赎金

[图2] 客户反馈使用黑客提供的解密器解密后显示很多文件无法修复，解密器存在问题

[图3] 客户发给黑客恢复异常文件，黑客表示从未遇到该情况，开始推脱问题

[图4] 黑客持续拖延

[图5]黑客提供了恢复文件，但客户验证后非所需文件

[图6]客户反馈问题，黑客长时间未回复

[图7]客户申请退款，黑客不予理会

在支付赎金后，由于解密效果严重不达预期，第三方公司曾多次尝试向黑客申请退款，但对方已不再回应，彻底失联。至此，客户初次委托的这家负责代谈和支付赎金的公司也已无计可施。最终，第三方公司将客户引荐至我们团队。我们在详细分析加密逻辑与解密器结构后，成功修复了解密逻辑中的关键问题，帮助客户完整恢复了数万个受影响的重要文件。

下文将对该解密器的技术机制进行深入分析，并在第四章我们会公开发布针对此次事件免费的恢复工具。如果您也遭遇了类似问题，欢迎联系我们协助处理——更重要的是，面对勒索攻击切勿盲目缴纳赎金，应在专业团队协助下开展分析研判与恢复评估。这次能够挽回，更多时候则可能再无机会。

在对话中可以看到黑客回复“我去告诉老板”，许多读者可能会疑惑：“黑客还有老板？”事实上，这句话揭示了LockBit家族背后的运作模式——RaaS（勒索软件即服务）。在RaaS模式下，与受害者沟通的通常是谈判人员或附属成员，他们并不是核心操盘者，而是“加盟代理”。整个组织结构中，核心团队负责开发与维护勒索软件本体、构建数据泄露站点、谈判门户等基础设施，并提供技术支持；而附属成员负责前期渗透、横向移动、数据窃取及部署勒索程序。两者之间按照约定比例分成收益，比如LockBit的核心团队会抽取约20%的赎金作为“技术服务费”。据泄露的聊天记录显示，想要成为LockBit的附属成员并获取其后台权限，需支付约777美元的比特币费用。因此，这类“黑客集团”并非传统意义上的单人作案，而是高度产业化、分工明确的黑色供应链体系，“老板”也确实存在，只不过藏在幕后的平台操控者而已，关于运营模式与策略可参考【独家揭秘】LockBit 4.0 解密器失效真相｜首发谈判日志＋万字深剖：发展脉络 · TTP 演进 · 2025最新 IOC

加密器和解密器中的密钥不匹配,但是算法相同,替换密钥即可解密.32位为通用解密器(用32位和64位加密的文件都可以被该解密器解密),在客户主机上有部分文件无法解密.

脱壳方法十分简单,为简单压缩壳,找到oep下断即可.在此不再赘述.

先获取本地驱动器属性,存入数组,并挂载隐藏分区.

遍历共享驱动器,并加入队列.

遍历本地驱动器,跳过cd-rom驱动器,测试共享驱动器是否可连通.

arp缓存中的主机也会被扫描,并解密.

读取本地驱动器队列.进入解密函数.阻塞解密每个驱动器中的文件.

使用windows api遍历目录,根据白名单决定是否写入目录双向链表.

不处理的目录名如下:

不处理的文件名包含字符串如下:

创建文件句柄,读取文件,判断大小,决定是否处理该文件.解密校验用字符串"FBIsosite",进行第一次校验,并拷贝黑客私钥.

代码内联造成此处代码十分臃肿.此处是x25519密钥交换的主要算法,即标量乘法.

计算自定义hash.

加密器中的hash算法,与解密器中的完全相同,故引用注释.

黑客使用了openssl库中的poly1305算法,和源码对比可得.

此处同样有部分函数内联.

引用加密器分析的部分操作.

salt定义:

解密加密文件所用的密钥.此处密钥是正确的,但是使用poly1305校验不通过,原因是文件部分损坏,见实验部分.

后面为对于文件的分块解密,解密算法和加密算法完全相同(因为chacha20是异或流加密).

以下内容摘自加密器分析:

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！