黑莓威胁情报(BlackBerry Threat Intelligence)团队刚刚发出警报 —— 一款自 2021 年 8 月存续至今的 LokiLocker 勒索软件,正在互联网上传播肆虐。据悉,该恶意软件采用了 AES + RSA 的加密方案,若用户拒绝在指定期限内支付赎金,它就会擦除其 PC 上的所有文件—— 包括删除所有非系统文件、以及覆盖硬盘上的主引导记录(MBR)。
(图自:BlackBerry Threat Intelligence)
目前尚不清楚 LokiLocker 勒索软件的起源,但代码分析发现它是用英语编写的,这点让安全研究人员感到很是疑惑。
图 1 - KoiVM 混淆器版本号
至于 LokiLocker 的受害者,世界各地都有分散,但主要分布在东欧和亚洲地区。
图 2 - Ko编程客栈i、NETGuard 与混淆类名
不过黑莓威胁情报团队认为,编程客栈用于开发 LokiLocker 的工具,是由名为 AccountCrack 的伊朗破jASdfFGHa解团队开发的。
图 3 - Loki 函数为空或无法反编译
当然,仅凭这一点,还无法最终认定 LokiLocker 勒索软件的起源。
图 4 - WinAPI 包装器
对于普通用户来说,还请始终对各种不明链接保持警惕、确保开启 Windows 安全中心、并在启用受控文件夹访问策略。
图 5 - Loki 配置
最后,为了在不幸中招后有机会恢复文件,平日里也可通过 编程客栈OneDrive 等网盘服务进行定期同步备份。
图 6 - KoiVM 虚拟化功能