黑莓威脅情報(BlackBerry Threat Intelligence)團隊剛剛發出警報 —— 一款自 2021 年 8 月存續至今的 LokiLocker 勒索軟件,正在互聯網上傳播肆虐。據悉,該惡意軟件採用了 AES + RSA 的加密方案,若用戶拒絕在指定期限內支付贖金,它就會擦除其 PC 上的所有文件 —— 包括刪除所有非系統文件、以及覆蓋硬盤上的主引導記錄(MBR)。
(圖自:BlackBerry Threat Intelligence)
目前尚不清楚 LokiLocker 勒索軟件的起源,但代碼分析發現它是用英語編寫的,這點讓安全研究人員感到很是疑惑。
圖 1 – KoiVM 混淆器版本號
至於 LokiLocker 的受害者,世界各地都有分散,但主要分佈在東歐和亞洲地區。
圖 2 – Koi、NETGuard 與混淆類名
不過黑莓威脅情報團隊認為,用於開發 LokiLocker 的工具,是由名為 AccountCrack 的伊朗破解團隊開發的。
圖 3 – Loki 函數為空或無法反編譯
當然,僅憑這一點,還無法最終認定 LokiLocker 勒索軟件的起源。
圖 4 – WinAPI 包裝器
對於普通用戶來說,還請始終對各種不明鏈接保持警惕、確保開啟 Windows 安全中心、並在啟用受控文件夾訪問策略。
圖 5 – Loki 配置
最後,為了在不幸中招後有機會恢復文件,平日里也可通過 OneDrive 等網盤服務進行定期同步備份。
圖 6 – KoiVM 虛擬化功能