2019 年 9 月，LockBit 勒索病毒首次正式亮相，其因使用后缀名 ．abcd 来标记已加密的受害者文件，被称为“ABCD”勒索软件。早期版本 LockBit 1.0 非常不成熟，作案过程中加密软件不仅使用固定的互斥锁，甚至会残留一些易被杀毒软件、沙箱等安全软件识别和拦截的 debug 函数。

　　随着组织规模不断发展，LockBit 1.0 开始采用 RaaS（Ransomware-as-a-service 勒索软件及服务） 模式运营，即开发并分发勒索软件工具供其他恶意行为者使用，并在一个著名的俄语论坛 XSS 上为其合作计划进行推广。

　　八个月后，LockBit 1.0 勒索软件运营商又升级了勒索策略，创建了一个用于公开受害者数据的站点，配合文件加密，试图进一步施压受害者，以期达成“双重勒索”的目的。

　　经过几次小的升级后，相较于其他勒索软件，LockBit 1.0 作案手段更为高超。针对 Windows 系统的加密过程采用 RSA + AES 算法加密文件，使用 IOCP 完成端口 + AES-NI 指令集提升工作效率，从而实现高性能加密流程，一旦成功加密文件，所有受害者的文件会被添加无法破解的 ．abcd 扩展后缀。

　　LockBit 勒索软件 1.0 时期，主要通过修改受害者系统桌面壁纸来显示勒索信息，并留下名为 Restore-My-Files.txt 的勒索信，要求受害者登录暗网，用比特币或门罗币缴纳赎金。

　　后来这个团伙因多起引人注目的攻击而成名。例如，在 2022 年 6 月，他们推出了 LockBit 3.0 版本，并包含了一个漏洞赏金计划，邀请安全研究人员测试并改进他们的软件。为发现系统漏洞提供奖励，这在勒索软件中是一个独特的做法。

　　自开始运作以来，LockBit 在网络安全方面产生了显著影响，其攻击通常导致受害方的敏感数据被盗和财务损失。

　　在 2022 年 5 月份之前，LockBit 几乎是一骑绝尘，在全球范围内打穿超过 850 家企业机构的防御系统，占同时间段内所有勒索软件相关攻击事件的 46%。

　　RaaS 代理模式：

　　攻击方式：