close
企業趨勢資訊保安

無需上網一樣有效 勒索軟件 Locky 現可離線加密檔案

現時的勒索軟件都要連接 C&C 伺服器才能獲取密鑰把檔案加密,不過有研究人員發現,最新版本的 Locky 即使無法連接伺服器,仍可加密檔案。

ransomware

 

勒索軟件一般的做法是,先以 AES 對稱加密檔案,然後連接 C&C 伺服器獲得 RSA 公鑰,把 AES 密鑰進行非對稱加密。用來解密的 RSA 私鑰會保留在伺服器裡,直到受害人付款才會發送。因此,如果防火牆把這些惡意連線封鎖,勒索軟件便無法加密檔案。

不過資安公司 Avira 的研究人員日前發現,著名的勒索軟件 Locky 有變種,即使電腦離線也能加密檔案。他們指,Locky 首先會嘗試連接 C&C 伺服器,如果多次都失敗就會進入離線加密模式。由感染 Locky 至啟動離線加密只需 1 至 2 分鐘,即使管理員察覺惡意連線請求,也來不及保護檔案。

由於無法連接至 C&C 伺服器,Locky 無法如常取得獨一無二的公鑰。因此,Locky 會利用程式組態(configuration)的公鑰加密檔案,並產生特殊的受害人 ID 以資識別。

不過由於公鑰是用相同的組態產生,因此只要獲得對應的私鑰,理應可以解密所有被 Locky 離線加密的檔案。

Source : Avira

 

Tags : Lockyransomware
Dennis Ma

The author Dennis Ma

為香港讀者分享各種 IT 新聞及趨勢,如企業動態、保安消息(勒索軟件、程式漏洞等)、未來科技(AR、VR、3D打印等。)、電子商貿;亦專門分享 SEO、網頁設計、社交平台推廣等心得。