回归最本质的信息安全

Odin勒索软件接替了Zepto和Locky的事业

2016年10月11日发布

2,753
0
0

导语:最初是Locky,之后转变成Zepto,而现在变成了Odin,这是重组了Locky-turned-Zepto的最新勒索软件。我们将其命名为Odin,星期三就是以神话人物命名的。

最初是Locky,之后转变成Zepto,而现在变成了Odin,这是重组了Locky-turned-Zepto的最新勒索软件。我们将其命名为Odin,星期三就是以神话人物命名的。

如果你不幸染上该软件,当你登录暗网的“购买页面”就会看到Locky的传统做法,骗子们会告诉你如何支付赎金。

你不需懂英语就能知道怎么做了,因为骗子们会在该页面上提供语言选项。

到目前为止,Odin勒索通过邮件发出,以模糊语法的英文文本告知你,你的账单已经生成,并附上一个ZIP格式压缩包,其中包含了该账单。

如果你打开邮件,你会看到两个文档,其中一份是Cancellation Form。另一项是文件名只有一个字符的虚拟文件,它包含了一个重复上千次的随机字符,大概是为了使之看起来与你之前看过的勒索软件不同吧。

当我们打开Windows10 ZIP格式压缩包,虚拟文件没有显示出来,只出现一个名为Cancellation Form的文本文件。

就像许多其他版本的恶意软件,也包括Zepto,cancellation form其实是骗子们要你打开的一个JavaScript程序。当你打开外部浏览器时,该恶意文件不受浏览器的沙盒限制,下载并启动Odin勒索软件,而且不会弹出任何警告对话框。

根据我们之前介绍的,你可以通过文件管理器设置显示扩展名再决定是否禁止运行该程序。

(如果你使用的是公司网络,在装有微软组件的电脑上,系统管理员能够为你打开文档的扩展名。)

打开Cancellation Form,运行Odin恶意软件的第一步:

1.解码自己的JavaScript程序,然后产生第二个混淆的JavaScript程序。
2.运行第二个JavaScript时,会下载一个DLL(这是一个特殊形式的Windows程序)。
3.解码下载好的DLL。
4.使用Windows的rundll32.exe程序安装并运行DLL。

此时,Odin的组件就会自动运行起来,开始对文档进行加密:与Zepto一样,每个数据文档以一个随机密钥通过AES进行加密,而每个AES密钥再由一个RSA公共密钥进行加密。

要知道的是,尽管AES对称算法使用同一个密钥锁定和解锁你的数据,而RSA算法则使用两个密钥,一个用于锁定(公钥),一个用于解锁(私钥)。

使用这样一个双层加密系统,以一个对称密码对这些文档进行加密,再根据非对称密钥(公钥)对这些对称密钥进行加密,这就是其表现形式。公钥加密比对称加密更加难以破解。

因为骗子们只有RSA私钥的副本,也因为AES密钥仅和相应的RSA公钥一一对应,于是只有他们才可以解开你想要解锁的文档。这就是为什么他们有信心使你支付300美元去买回你的数据。

作为常见的勒索软件,他们不仅在你的浏览器上打开了你的文档,而且还更改你的壁纸图片,以确保你知道自己的电脑被黑了,然后你就会乖乖的被敲诈了。

本文翻译于nakedsecurity,如若转载,请注明来源于嘶吼: http://www.4hou.com/technology/1879.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

Change

Change

嘶吼编辑

发私信

发表评论