Odin勒索軟體接替了Zepto和Locky的事業

01-29

最初是Locky，之後轉變成Zepto，而現在變成了Odin，這是重組了Locky-turned-Zepto的最新勒索軟體。我們將其命名為Odin，星期三就是以神話人物命名的。

如果你不幸染上該軟體，當你登錄暗網的「購買頁面」就會看到Locky的傳統做法，騙子們會告訴你如何支付贖金。

你不需懂英語就能知道怎麼做了，因為騙子們會在該頁面上提供語言選項。

到目前為止，Odin勒索通過郵件發出，以模糊語法的英文文本告知你，你的賬單已經生成，並附上一個ZIP格式壓縮包，其中包含了該賬單。

如果你打開郵件，你會看到兩個文檔，其中一份是Cancellation Form。另一項是文件名只有一個字元的虛擬文件，它包含了一個重複上千次的隨機字元，大概是為了使之看起來與你之前看過的勒索軟體不同吧。

當我們打開Windows10 ZIP格式壓縮包，虛擬文件沒有顯示出來，只出現一個名為Cancellation Form的文本文件。

就像許多其他版本的惡意軟體，也包括Zepto，cancellation form其實是騙子們要你打開的一個JavaScript程序。當你打開外部瀏覽器時，該惡意文件不受瀏覽器的沙盒限制，下載並啟動Odin勒索軟體，而且不會彈出任何警告對話框。

根據我們之前介紹的，你可以通過文件管理器設置顯示擴展名再決定是否禁止運行該程序。

(如果你使用的是公司網路，在裝有微軟組件的電腦上，系統管理員能夠為你打開文檔的擴展名。)

打開Cancellation Form，運行Odin惡意軟體的第一步：

1.解碼自己的JavaScript程序，然後產生第二個混淆的JavaScript程序。n2.運行第二個JavaScript時，會下載一個DLL(這是一個特殊形式的Windows程序)。n3.解碼下載好的DLL。n4.使用Windows的rundll32.exe程序安裝並運行DLL。n

此時，Odin的組件就會自動運行起來，開始對文檔進行加密：與Zepto一樣，每個數據文檔以一個隨機密鑰通過AES進行加密，而每個AES密鑰再由一個RSA公共密鑰進行加密。

要知道的是，儘管AES對稱演算法使用同一個密鑰鎖定和解鎖你的數據，而RSA演算法則使用兩個密鑰，一個用於鎖定(公鑰)，一個用於解鎖(私鑰)。

使用這樣一個雙層加密系統，以一個對稱密碼對這些文檔進行加密，再根據非對稱密鑰(公鑰)對這些對稱密鑰進行加密，這就是其表現形式。公鑰加密比對稱加密更加難以破解。

因為騙子們只有RSA私鑰的副本，也因為AES密鑰僅和相應的RSA公鑰一一對應，於是只有他們才可以解開你想要解鎖的文檔。這就是為什麼他們有信心使你支付300美元去買回你的數據。

作為常見的勒索軟體，他們不僅在你的瀏覽器上打開了你的文檔，而且還更改你的壁紙圖片，以確保你知道自己的電腦被黑了，然後你就會乖乖的被敲詐了。

註：本文參考來源於nakedsecurity