新的Locky Ransomware版本可以在离线模式下运行
广泛的锁定赎金软件的创建者在最新版本的程序中添加了一个倒退机制,以便恶意软件无法访问其命令和控制服务器的情况。
AntiVirus供应商Avira的安全研究人员已经找到了一种新的锁定变体,即使在无法从攻击者的服务器索取唯一的加密密钥时,也会启动加密文件,因为计算机是脱机或防火墙阻止通信。
为服务器调用Home对于使用公钥加密的赎金软件程序非常重要。实际上,如果他们在感染新计算机后无法报告返回服务器,大多数此类程序不会启动加密文件。
因为加密例程依赖于由攻击者生成的唯一公用私钥对,这些私钥对每台计算机的服务器提供。
首先,勒索软件程序生成对称加密密钥,并使用像AES(高级加密标准)这样的算法来加密文件。然后,它达到命令和控制服务器,并询问服务器为新感染的计算机生成RSA密钥对。
公钥被发送回赎金软件程序,用于加密AES加密密钥。私钥,需要解密公钥加密的内容,永远不会离开攻击者“服务器,并且是用户在支付赎金时获得的关键。
由于这个过程,如果网络防火墙检测到它们的连接尝试并从一开始就可以将其视为可疑,则可以呈现某些赎金软件感染无效。
如果触发赎金软件检测,公司还可以从互联网上快速切断计算机,以试图限制损坏。它们还可以暂时脱机,直到他们可以调查其他计算机是否也受到影响。
由于对其所做的更改,这些措施对于锁定,其中一个措施不再是锁定的,其中一个最普遍的赎制软件威胁劫持用户。
好消息是,锁定将使用预定义的公钥来开始加密文件,该密钥对于所有离线受害者的预定公钥。这意味着如果有人支付赎金并获得私钥,那么该关键也将为所有其他离线受害者工作。
F-Secure的安全研究人员已经观察到本周分发锁定的两个大规模垃圾邮件活动,其中一个人每小时达到120,000辆垃圾邮件,比赛人员在博客帖子中表示,比垃圾邮件命中的比垃圾邮件更高200倍以上。
两种广告系列都传播了包含包含恶意JavaScript文件的Rogue Zip附件的电子邮件。最近几个月使用JavaScript文件来分发恶意软件已成为攻击者最受欢迎的。可以在Windows中执行此类文件,而无需任何特殊软件。
