黑莓威脅情報(bào)（BlackBerry Threat Intelligence）團(tuán)隊(duì)剛剛發(fā)出警報(bào) —— 一款自 2021 年 8 月存續(xù)至今的 LokiLocker 勒索軟件，正在互聯(lián)網(wǎng)上傳播肆虐。據(jù)悉，該惡意軟件采用了 AES + RSA 的加密方案，若用戶(hù)拒絕在指定期限內(nèi)支付贖金，它就會(huì)擦除其 PC 上的所有文件 —— 包括刪除所有非系統(tǒng)文件、以及覆蓋硬盤(pán)上的主引導(dǎo)記錄（MBR）。

（圖自：BlackBerry Threat Intelligence）

目前尚不清楚 LokiLocker 勒索軟件的起源，但代碼分析發(fā)現(xiàn)它是用英語(yǔ)編寫(xiě)的，這點(diǎn)讓安全研究人員感到很是疑惑。

圖 1 - KoiVM 混淆器版本號(hào)

至于 LokiLocker 的受害者，世界各地都有分散，但主要分布在東歐和亞洲地區(qū)。

圖 2 - Koi、NETGuard 與混淆類(lèi)名

不過(guò)黑莓威脅情報(bào)團(tuán)隊(duì)認(rèn)為，用于開(kāi)發(fā) LokiLocker 的工具，是由名為 AccountCrack 的伊朗破解團(tuán)隊(duì)開(kāi)發(fā)的。

圖 3 - Loki 函數(shù)為空或無(wú)法反編譯

當(dāng)然，僅憑這一點(diǎn)，還無(wú)法最終認(rèn)定 LokiLocker 勒索軟件的起源。

圖 4 - WinAPI 包裝器

對(duì)于普通用戶(hù)來(lái)說(shuō)，還請(qǐng)始終對(duì)各種不明鏈接保持警惕、確保開(kāi)啟 Windows 安全中心、并在啟用受控文件夾訪(fǎng)問(wèn)策略。

圖 5 - Loki 配置

最后，為了在不幸中招后有機(jī)會(huì)恢復(fù)文件，平日里也可通過(guò) OneDrive 等網(wǎng)盤(pán)服務(wù)進(jìn)行定期同步備份。

圖 6 - KoiVM 虛擬化功能

（舉報(bào)）