疫情還(hái)未結束，黑(hēi)客紛紛複工(gōng)。前有(yǒu)利用(yòng)“冠狀病毒”熱(rè)詞攻擊外(wài)貿∞→航運的(de)間(jiān)諜木(mù)馬盜取信息，後有(yǒu)利用(yòng)論壇傳播<¶的(de)”已鎖定“勒索病毒興風(fēng)作(zuò)浪，非常™≠δ®時(shí)期的(de)網絡安全隐患逐漸浮出水(shuǐ)面，網絡犯罪日(rì)漸飙升，這(₹ zhè)個(gè)2020年(nián)注定不(bù)凡。

近(jìn)日(rì)，“已鎖定”勒索病毒再度更新。作(zuò)為(wèi)2020年(nián)國(guó)産勒 ε索病毒的(de)“新星”，其加密用(yòng)戶文(wén)件(jiàn)後會(huì)&₩修改後綴名為(wèi)“已鎖定”，彼時(shí)感染了↓↑(le)數(shù)千用(yòng)戶。如(rú)今，不(bù)足月(yuè)餘的"±∏(de)時(shí)間(jiān)，它便攜新版本卷土(tǔ)重來(lái)。

圍繞傳播渠道(dào)、加密算(suàn)法等攻擊方式✔‌，種種迹象表明(míng)，V2版本的(de)“已鎖定”經過一(yī)輪升級γ✔更新之後，攻擊爪牙愈發尖利，正在伺機(jī)發起更大(dà) ✔≠規模的(de)勒索病毒攻擊風(fēng)暴。

在上(shàng)一(yī)版本中，“已鎖定”勒索病毒主要(¥♦λφyào)采用(yòng)網絡代理(lǐ)工(gōng)具、高(gāo)鐵(tiě↑')采集器(qì)廣告傳播，而在本次更新中，它轉而将用(≠πyòng)戶覆蓋面更廣的(de)論壇廣告作(zuò)為(w₽×èi)其主要(yào)的(de)擴散陣地(dì)，這(zhè)無疑大(dà)大(dàβ∑)提升了(le)病毒的(de)擴散速度。

更為(wèi)重要(yào)的(de)是(shì)，“已鎖定”勒索↓>¥Ω病毒除了(le)在傳播方式上(shàng)略有(yǒu)變化(huà)之外(wài)，在加密算(¥•↔≠suàn)法上(shàng)也(yě)進行(xíng)了(le)優化(huà)。此前它主要(yào)采用(yòng)文(wén)件(jiàn)大(dà)小(xiǎo)πφ×作(zuò)為(wèi)加密KEY，而在V2版本中，“已鎖定”雖 γ然仍然隻對(duì)文(wén)件(jiàn)前4KB進行(xíng☆γ®)加密，但(dàn)卻使用(yòng)了(le)更為•$​→(wèi)複雜(zá)的(de)密鑰生(shēng)成算(s‍™uàn)法，使用(yòng)的(de)KEY也(yě)做(zuò)了(le)很(hěn)大§↕(dà)的(de)修改。

如(rú)下(xià)圖所示，病毒作(zuò)者在勒索病毒程序請(qǐng)求服務器σ€‍¥(qì)列表的(de)時(shí)候就(jiù)已經帶上(shàng)了(le)留給中招用(yònφβ×g)戶的(de)勒索贖金(jīn)提示文(wén)字。同時(shí)，已鎖定勒索病毒還(hái)會(huì)通(tōng₹&™)過獲取中招設備的(de)機(jī)器(qì)碼，生(shēng)成一(yī)個☆™•✔(gè)“MAC“信息，和(hé)生(shēng)成的(de)密鑰一(↔↕•↔yī)并POST回服務器(qì)。所以一(yī)般來(lái)講，受害者聯系黑(hēi)客之後∞<，病毒作(zuò)者可(kě)以通(tōng)過機(π∏÷jī)器(qì)碼識别到(dào)具體(tǐ)的(de)中招用(yòng)戶以及文(w®€én)件(jiàn)加密密鑰。

更有(yǒu)意思的(de)是(shì)，此前“已鎖定“勒索病毒主要(yào)通(tōng✘×)過連接雲端數(shù)據庫來(lái)決定是(shì)否執行(xíng)加密代碼，而在本次更↔↓新中，攻擊者為(wèi)方便控制(zhì)本次病毒的(de)潛伏期，會"≤®±(huì)設定程序啓動後每20分(fēn)鐘(zhōng)發起一(yī)次↔λ♥請(qǐng)求，查詢是(shì)否需要(yào)加密。這(zhè)樣一(yī)來(lái)，中招用(yòng)戶便難以察覺到(dàλ‍≥o)機(jī)器(qì)中招的(de)根本原因。