黑莓威脅情報（BlackBerry Threat Intelligence）團隊剛剛發出警報—— 一款自2021 年8 月存續至今的LokiLocker 勒索軟件，正在互聯網上傳播肆虐。據悉，該惡意軟件採用了AES + RSA 的加密方案，若用戶拒絕在指定期限內支付贖金，它就會擦除其PC 上的所有文件—— 包括刪除所有非系統文件、以及覆蓋硬盤上的主引導記錄（MBR）。

（圖自：BlackBerry Threat Intelligence）

目前尚不清楚LokiLocker 勒索軟件的起源，但代碼分析發現它是用英語編寫的，這點讓安全研究人員感到很是疑惑。

圖1 – KoiVM 混淆器版本號

至於LokiLocker 的受害者，世界各地都有分散，但主要分佈在東歐和亞洲地區。

圖2 – Koi、NETGuard 與混淆類名

不過黑莓威脅情報團隊認為，用於開發LokiLocker 的工具，是由名為AccountCrack 的伊朗破解團隊開發的。

圖3 – Loki 函數為空或無法反編譯

當然，僅憑這一點，還無法最終認定LokiLocker 勒索軟件的起源。

圖4 – WinAPI 包裝器

對於普通用戶來說，還請始終對各種不明鏈接保持警惕、確保開啟Windows安全中心、並在啟用受控文件夾訪問策略。

圖5 – Loki 配置

最後，為了在不幸中招後有機會恢復文件，平日里也可通過OneDrive 等網盤服務進行定期同步備份。

圖6 – KoiVM 虛擬化功能