新型 LokiLocker 勒索软件会擦除整个 PC 上的文件

黑莓威胁情报（BlackBerry Threat Intelligence）团队刚刚发出警报 —— 一款自 2021 年 8 月存续至今的 LokiLocker 勒索软件，正在互联网上传播肆虐。据悉，该恶意软件采用了 AES + RSA 的加密方案，若用户拒绝在指定期限内支付赎金，它就会擦除其 PC 上的所有文件 —— 包括删除所有非系统文件、以及覆盖硬盘上的主引导记录（MBR）。

http://hackernews.cc/wp-content/uploads/2022/03/326dc005ea92bde-600x368.png

（图自：BlackBerry Threat Intelligence）

目前尚不清楚 LokiLocker 勒索软件的起源，但代码分析发现它是用英语编写的，这点让安全研究人员感到很是疑惑。

http://hackernews.cc/wp-content/uploads/2022/03/1-1.png

图 1 – KoiVM 混淆器版本号

至于 LokiLocker 的受害者，世界各地都有分散，但主要分布在东欧和亚洲地区。

http://hackernews.cc/wp-content/uploads/2022/03/2-1.png

图 2 – Koi、NETGuard 与混淆类名

不过黑莓威胁情报团队认为，用于开发 LokiLocker 的工具，是由名为 AccountCrack 的伊朗破解团队开发的。

http://hackernews.cc/wp-content/uploads/2022/03/3-600x132.png

图 3 – Loki 函数为空或无法反编译

当然，仅凭这一点，还无法最终认定 LokiLocker 勒索软件的起源。

http://hackernews.cc/wp-content/uploads/2022/03/4-600x369.png

图 4 – WinAPI 包装器

对于普通用户来说，还请始终对各种不明链接保持警惕、确保开启 Windows 安全中心、并在启用受控文件夹访问策略。

http://hackernews.cc/wp-content/uploads/2022/03/5-1-600x257.png

图 5 – Loki 配置

最后，为了在不幸中招后有机会恢复文件，平日里也可通过 OneDrive 等网盘服务进行定期同步备份。

http://hackernews.cc/wp-content/uploads/2022/03/6-1-600x370.png

图 6 – KoiVM 虚拟化功能

转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1248751.htm
封面来源于网络，如有侵权请联系删除