標籤:

Odin勒索軟體接替了Zepto和Locky的事業

最初是Locky,之後轉變成Zepto,而現在變成了Odin,這是重組了Locky-turned-Zepto的最新勒索軟體。我們將其命名為Odin,星期三就是以神話人物命名的。

如果你不幸染上該軟體,當你登錄暗網的「購買頁面」就會看到Locky的傳統做法,騙子們會告訴你如何支付贖金。

你不需懂英語就能知道怎麼做了,因為騙子們會在該頁面上提供語言選項。

到目前為止,Odin勒索通過郵件發出,以模糊語法的英文文本告知你,你的賬單已經生成,並附上一個ZIP格式壓縮包,其中包含了該賬單。

如果你打開郵件,你會看到兩個文檔,其中一份是Cancellation Form。另一項是文件名只有一個字元的虛擬文件,它包含了一個重複上千次的隨機字元,大概是為了使之看起來與你之前看過的勒索軟體不同吧。

當我們打開Windows10 ZIP格式壓縮包,虛擬文件沒有顯示出來,只出現一個名為Cancellation Form的文本文件。

就像許多其他版本的惡意軟體,也包括Zepto,cancellation form其實是騙子們要你打開的一個JavaScript程序。當你打開外部瀏覽器時,該惡意文件不受瀏覽器的沙盒限制,下載並啟動Odin勒索軟體,而且不會彈出任何警告對話框。

根據我們之前介紹的,你可以通過文件管理器設置顯示擴展名再決定是否禁止運行該程序。

(如果你使用的是公司網路,在裝有微軟組件的電腦上,系統管理員能夠為你打開文檔的擴展名。)

打開Cancellation Form,運行Odin惡意軟體的第一步:

1.解碼自己的JavaScript程序,然後產生第二個混淆的JavaScript程序。n2.運行第二個JavaScript時,會下載一個DLL(這是一個特殊形式的Windows程序)。n3.解碼下載好的DLL。n4.使用Windows的rundll32.exe程序安裝並運行DLL。n

此時,Odin的組件就會自動運行起來,開始對文檔進行加密:與Zepto一樣,每個數據文檔以一個隨機密鑰通過AES進行加密,而每個AES密鑰再由一個RSA公共密鑰進行加密。

要知道的是,儘管AES對稱演算法使用同一個密鑰鎖定和解鎖你的數據,而RSA演算法則使用兩個密鑰,一個用於鎖定(公鑰),一個用於解鎖(私鑰)。

使用這樣一個雙層加密系統,以一個對稱密碼對這些文檔進行加密,再根據非對稱密鑰(公鑰)對這些對稱密鑰進行加密,這就是其表現形式。公鑰加密比對稱加密更加難以破解。

因為騙子們只有RSA私鑰的副本,也因為AES密鑰僅和相應的RSA公鑰一一對應,於是只有他們才可以解開你想要解鎖的文檔。這就是為什麼他們有信心使你支付300美元去買回你的數據。

作為常見的勒索軟體,他們不僅在你的瀏覽器上打開了你的文檔,而且還更改你的壁紙圖片,以確保你知道自己的電腦被黑了,然後你就會乖乖的被敲詐了。

註:本文參考來源於nakedsecurity

推薦閱讀:

聯軟科技:銀行離櫃率90%,如何建設放心銀行
驚呆了 | 破解DGA演算法 思科將能預測GozNym殭屍網路的域名
一周安全事件 | 雅虎被黑後身價下降10億美元
看完這個回答,嚇得我又運行了一遍Revoke China Cert

TAG:网络安全 |