疫情還(hái)未結束，黑(hēi)客紛紛複工(g ≤← ōng)。前有(yǒu)利用(yòng)“冠狀病毒”熱(rè)詞攻擊外(wà₩✔ i)貿航運的(de)間(jiān)諜木(m®¶∑πù)馬盜取信息，後有(yǒu)利用(yòng)∑☆±★論壇傳播的(de)”已鎖定“勒索病毒興風(fēng)作(™¥zuò)浪，非常時(shí)期的(de)網絡安全隐₽ 患逐漸浮出水(shuǐ)面，網絡犯罪日(rì)漸飙升，這(zhè)個(gè↓♦)2020年(nián)注定不(bù)凡。

近(jìn)日(rì)，“已鎖定”勒索病毒再度更新。作(zuò)為(wèi)202↑₩0年(nián)國(guó)産勒索病毒的(de)♣<“新星”，其加密用(yòng)戶文(wén)件(jiàn)後會(huì)修改後 ✔綴名為(wèi)“已鎖定”，彼時(shí)感染了(le)數(shù)千用$☆♦€(yòng)戶。如(rú)今，不(bù)足月(yuè)餘的®₽(de)時(shí)間(jiān)，它便攜£ ♥新版本卷土(tǔ)重來(lái)。

圍繞傳播渠道(dào)、加密算(suàn)法等攻擊方 ™式，種種迹象表明(míng)，V2版本的(de)“已鎖定”經過一✘¥(yī)輪升級更新之後，攻擊爪牙愈發尖利，正在 ♠₩•伺機(jī)發起更大(dà)規模的(de)勒索病毒攻擊風(fēng)暴。

在上(shàng)一(yī)版本中，“已鎖‍γ★定”勒索病毒主要(yào)采用(yòng)網絡代理(lǐ)工(gōng)具、€≤高(gāo)鐵(tiě)采集器(qì)廣告傳播' §<，而在本次更新中，它轉而将用(yòng)戶覆蓋面更廣的(de)論壇廣告作(zu$αò)為(wèi)其主要(yào)的(de)擴散陣地(dì)，這(zhè)無疑™•$£大(dà)大(dà)提升了(le)病毒的(de)擴散速度σ↑​。

更為(wèi)重要(yào)的(de)是(shì)，“已鎖定”勒索病©₹毒除了(le)在傳播方式上(shàng)略有(yǒu)變化(huà)之外(wà γ₹>i)，在加密算(suàn)法上(shàng)也(yě)進行(xíng)了(l≥∞ e)優化(huà)。此前它主要(yào)采用(yòng)文(wén↕♠)件(jiàn)大(dà)小(xiǎo)作(zuò)為(wèi) ®♥ 加密KEY，而在V2版本中，“已鎖定”雖然仍然隻對(duì)文(wén)件(j÷¥ iàn)前4KB進行(xíng)加密，但(dàn)卻使用(yòngφ )了(le)更為(wèi)複雜(zá)的(de)密鑰生(shēng)成算ε'(suàn)法，使用(yòng)的(de∑$)KEY也(yě)做(zuò)了(le)很(hěn)大(dà)的(de)修改≈↓ε§。

如(rú)下(xià)圖所示，病毒作(zuò)者在勒索病♠€α毒程序請(qǐng)求服務器(qì)列表♥₩α<的(de)時(shí)候就(jiù)已經帶上(shàng)了(le)留給中>φ招用(yòng)戶的(de)勒索贖金(jīn)提↕‌₩示文(wén)字。同時(shí)，已鎖定勒索病毒還(hái)會(huì)通↔☆(tōng)過獲取中招設備的(de)機(j€§÷ī)器(qì)碼，生(shēng)成一(yī)個(gè)“MAC ↕“信息，和(hé)生(shēng)成的(de)密鑰一(yī)并POST回服務γ☆™器(qì)。所以一(yī)般來(lái)講，受害者聯系黑(hēi)客之後，病毒作(z££uò)者可(kě)以通(tōng)過機(‌​jī)器(qì)碼識别到(dào)具體(t§♣÷γǐ)的(de)中招用(yòng)戶以及文(wén)∏‍₩↑件(jiàn)加密密鑰。

更有(yǒu)意思的(de)是(shì)，此前“已鎖定“勒索病毒主☆©φ↓要(yào)通(tōng)過連接雲端數(shù)據庫來(lái$≠)決定是(shì)否執行(xíng)加密代碼，而在本次更'∑¥新中，攻擊者為(wèi)方便控制(zhì↔λε™)本次病毒的(de)潛伏期，會(huì)設定程序啓€↓α動後每20分(fēn)鐘(zhōng)發起一(yī)次請(♣♠÷qǐng)求，查詢是(shì)否需要(yào)加密。這(zhè)樣一(yī)來(lái)，中招用(yòng)戶¶¥×便難以察覺到(dào)機(jī)器(qì)中招的(≈βde)根本原因。