Odin勒索软件接替了Zepto和Locky的事业

最初是Locky，之后转变成Zepto，而现在变成了Odin，这是重组了Locky-turned-Zepto的最新勒索软件。我们将其命名为Odin，星期三就是以神话人物命名的。

如果你不幸染上该软件，当你登录暗网的“购买页面”就会看到Locky的传统做法，骗子们会告诉你如何支付赎金。

你不需懂英语就能知道怎么做了，因为骗子们会在该页面上提供语言选项。

到目前为止，Odin勒索通过邮件发出，以模糊语法的英文文本告知你，你的账单已经生成，并附上一个ZIP格式压缩包，其中包含了该账单。

如果你打开邮件，你会看到两个文档，其中一份是Cancellation Form。另一项是文件名只有一个字符的虚拟文件，它包含了一个重复上千次的随机字符，大概是为了使之看起来与你之前看过的勒索软件不同吧。

当我们打开Windows10 ZIP格式压缩包，虚拟文件没有显示出来，只出现一个名为Cancellation Form的文本文件。

就像许多其他版本的恶意软件，也包括Zepto，cancellation form其实是骗子们要你打开的一个JavaScript程序。当你打开外部浏览器时，该恶意文件不受浏览器的沙盒限制，下载并启动Odin勒索软件，而且不会弹出任何警告对话框。

根据我们之前介绍的，你可以通过文件管理器设置显示扩展名再决定是否禁止运行该程序。

(如果你使用的是公司网络，在装有微软组件的电脑上，系统管理员能够为你打开文档的扩展名。)

打开Cancellation Form，运行Odin恶意软件的第一步：

1.解码自己的JavaScript程序，然后产生第二个混淆的JavaScript程序。
2.运行第二个JavaScript时，会下载一个DLL(这是一个特殊形式的Windows程序)。
3.解码下载好的DLL。
4.使用Windows的rundll32.exe程序安装并运行DLL。

此时，Odin的组件就会自动运行起来，开始对文档进行加密：与Zepto一样，每个数据文档以一个随机密钥通过AES进行加密，而每个AES密钥再由一个RSA公共密钥进行加密。

要知道的是，尽管AES对称算法使用同一个密钥锁定和解锁你的数据，而RSA算法则使用两个密钥，一个用于锁定(公钥)，一个用于解锁(私钥)。

使用这样一个双层加密系统，以一个对称密码对这些文档进行加密，再根据非对称密钥(公钥)对这些对称密钥进行加密，这就是其表现形式。公钥加密比对称加密更加难以破解。

因为骗子们只有RSA私钥的副本，也因为AES密钥仅和相应的RSA公钥一一对应，于是只有他们才可以解开你想要解锁的文档。这就是为什么他们有信心使你支付300美元去买回你的数据。

作为常见的勒索软件，他们不仅在你的浏览器上打开了你的文档，而且还更改你的壁纸图片，以确保你知道自己的电脑被黑了，然后你就会乖乖的被敲诈了。