Qualys 威胁研究高级工程师 Pranita Pradeep Kulkarni 详细介绍了一种名为 NotLockBit 的新型勒索软件，它模仿臭名昭著的 LockBit 勒索软件，同时引入了独特的跨平台功能。该恶意软件同时针对 Windows 和 macOS 系统，标志着勒索软件策略的重大演变。

NotLockBit 是用 Go 编程语言编写的，充分利用了 Go 的跨平台兼容性和快速开发周期。Kulkarni 解释说：“这种新病毒展示了先进的功能，包括有针对性的文件加密、数据渗入和自删除机制。这些功能加上对 LockBit 品牌和行为的模仿，使 NotLockBit 成为一种可怕的威胁。”

NotLockBit 的工作原理

1. 初始化和侦查： 在 macOS 上执行后，NotLockBit 会使用 go-sysinfo 模块收集关键系统信息。它收集的详细信息包括硬件规格、网络配置和操作系统版本，使其能够定制攻击。
2. 加密过程： NotLockBit 采用双层加密策略。随机生成的 AES 密钥对文件进行加密，而 RSA 则确保加密密钥的安全。文件会以 .abcd 扩展名重命名，确保没有私人解密密钥就无法恢复文件。勒索软件的目标是有价值的文件类型，包括文档、图像和虚拟机文件，同时故意跳过/proc/和/sys/等目录。
3. 数据渗透： 除了加密文件外，NotLockBit 还会将数据渗入攻击者控制的存储空间，通常使用亚马逊 S3 存储桶。这就实现了双重勒索策略，威胁说如果不支付赎金，就会释放被盗数据。
4. 污损和自我删除： 勒索软件会更改受害者的桌面壁纸，以显示受 LockBit 启发的赎金说明，从而增强其心理影响。然后，它会删除阴影副本并自我删除，不留任何痕迹。

NotLockBit 以 macOS 为目标尤其值得注意，因为它是影响该平台的首批全功能勒索软件之一。通过执行 osascript 等命令来操纵系统设置，该恶意软件展示了对 macOS 内部结构的深刻理解。

库尔卡尼的分析强调了不同样本在混淆方面的差异。她指出：“一些样本保留了可见的函数名称，而另一些样本则使用了混淆名称，还有一些样本则完全剥离了函数名称。”她指出：“这表明威胁行为者正在尝试多种策略来逃避检测。”

Kulkarn 总结说：“NotLockBit 展示了高度的复杂性，同时保持了与两个操作系统的兼容性，突出了其跨平台能力。”