Open Ray手記:Locky病毒新變種

早前紅極一時的勒索病毒Locky,近日出現新變種。新變種是一個加強版本,會把受害者電腦以高強度的256位元AES加密,然後把文件結尾改成.odin。新病毒的勒索金額也提高了,由0.5至3BTC(Bitcoin)不等,折約2,400至18,000港元。

變種後的Locky仍然經垃圾郵件傳送,因此電腦必須使用垃圾郵件過濾軟件,或使用內置垃圾郵件過濾的電郵服務。有時病毒傳送者從討論區或網站取得用戶的名字,因此會在電郵中直呼用戶的名稱,以便逃過垃圾郵件的過濾,也令用戶減低戒心,更容易受騙而打開病毒電郵。

據資料顯示,暫時Locky病毒電郵的標題多數是Re:Documents Requested或Updated Invoice#等,主要想誘騙商業用戶打開電郵。電郵附件是一個zip檔案,zip內是一個.wsf的文件。wsf是Windows Script File的意思,一打開便會運行程式,即時上網下載最新的病毒版本,然後把電腦內的文件全部加密,並刪除原有的文件,只餘下一堆.odin結尾的加密文件。

不久前我在本欄介紹過一些勒索病毒解救軟件,包括Trend Micro的Ransomware File Decryptor。事實上,勒索病毒多數使用高強度的 AES加密,基本上是無法自行破解的。

上述的File Decryptor只能破解幾款舊版的勒索病毒。現在勒索病毒已成為一門營收逾千萬的事業,往往以企業化或工廠模式營運,病毒也不斷變種,不易破解,只能防患於未然。

電郵:openray8@gmail.com

鍾偉民(Ray)•飲食網站創辦人