326dc005ea92bde

新型 LokiLocker 勒索软件会擦除整个 PC 上的文件

  • 浏览次数 20901
  • 喜欢 0
  • 评分 12345

黑莓威胁情报(BlackBerry Threat Intelligence)团队刚刚发出警报 —— 一款自 2021 年 8 月存续至今的 LokiLocker 勒索软件,正在互联网上传播肆虐。据悉,该恶意软件采用了 AES + RSA 的加密方案,若用户拒绝在指定期限内支付赎金,它就会擦除其 PC 上的所有文件 —— 包括删除所有非系统文件、以及覆盖硬盘上的主引导记录(MBR)。

326dc005ea92bde

(图自:BlackBerry Threat Intelligence

目前尚不清楚 LokiLocker 勒索软件的起源,但代码分析发现它是用英语编写的,这点让安全研究人员感到很是疑惑。

1

图 1 – KoiVM 混淆器版本号

至于 LokiLocker 的受害者,世界各地都有分散,但主要分布在东欧和亚洲地区。

2

图 2 – Koi、NETGuard 与混淆类名

不过黑莓威胁情报团队认为,用于开发 LokiLocker 的工具,是由名为 AccountCrack 的伊朗破解团队开发的。

3

图 3 – Loki 函数为空或无法反编译

当然,仅凭这一点,还无法最终认定 LokiLocker 勒索软件的起源。

4

图 4 – WinAPI 包装器

对于普通用户来说,还请始终对各种不明链接保持警惕、确保开启 Windows 安全中心、并在启用受控文件夹访问策略。

5

图 5 – Loki 配置

最后,为了在不幸中招后有机会恢复文件,平日里也可通过 OneDrive 等网盘服务进行定期同步备份。

6

图 6 – KoiVM 虚拟化功能

转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1248751.htm
封面来源于网络,如有侵权请联系删除