新型LokiLocker勒索軟件會擦除整個PC上的文件
黑莓威脅情報(BlackBerry Threat Intelligence)團隊剛剛發出警報—— 一款自2021 年8 月存續至今的LokiLocker 勒索軟件,正在互聯網上傳播肆虐。據悉,該惡意軟件採用了AES + RSA 的加密方案,若用戶拒絕在指定期限內支付贖金,它就會擦除其PC 上的所有文件—— 包括刪除所有非系統文件、以及覆蓋硬盤上的主引導記錄(MBR)。
(圖自:BlackBerry Threat Intelligence)
目前尚不清楚LokiLocker 勒索軟件的起源,但代碼分析發現它是用英語編寫的,這點讓安全研究人員感到很是疑惑。
圖1 – KoiVM 混淆器版本號
至於LokiLocker 的受害者,世界各地都有分散,但主要分佈在東歐和亞洲地區。
圖2 – Koi、NETGuard 與混淆類名
不過黑莓威脅情報團隊認為,用於開發LokiLocker 的工具,是由名為AccountCrack 的伊朗破解團隊開發的。
圖3 – Loki 函數為空或無法反編譯
當然,僅憑這一點,還無法最終認定LokiLocker 勒索軟件的起源。
圖4 – WinAPI 包裝器
對於普通用戶來說,還請始終對各種不明鏈接保持警惕、確保開啟Windows安全中心、並在啟用受控文件夾訪問策略。
圖5 – Loki 配置
最後,為了在不幸中招後有機會恢復文件,平日里也可通過OneDrive 等網盤服務進行定期同步備份。
圖6 – KoiVM 虛擬化功能