現時的勒索軟件都要連接 C&C 伺服器才能獲取密鑰把檔案加密,不過有研究人員發現,最新版本的 Locky 即使無法連接伺服器,仍可加密檔案。
勒索軟件一般的做法是,先以 AES 對稱加密檔案,然後連接 C&C 伺服器獲得 RSA 公鑰,把 AES 密鑰進行非對稱加密。用來解密的 RSA 私鑰會保留在伺服器裡,直到受害人付款才會發送。因此,如果防火牆把這些惡意連線封鎖,勒索軟件便無法加密檔案。
不過資安公司 Avira 的研究人員日前發現,著名的勒索軟件 Locky 有變種,即使電腦離線也能加密檔案。他們指,Locky 首先會嘗試連接 C&C 伺服器,如果多次都失敗就會進入離線加密模式。由感染 Locky 至啟動離線加密只需 1 至 2 分鐘,即使管理員察覺惡意連線請求,也來不及保護檔案。
由於無法連接至 C&C 伺服器,Locky 無法如常取得獨一無二的公鑰。因此,Locky 會利用程式組態(configuration)的公鑰加密檔案,並產生特殊的受害人 ID 以資識別。
不過由於公鑰是用相同的組態產生,因此只要獲得對應的私鑰,理應可以解密所有被 Locky 離線加密的檔案。
Source : Avira