如今几乎每一天,都有许多新的勒索软件版本和变体出现。恶意软件作者们始终坚信勒索软件是他们的”快速致富之道”,但事实却是各国执法机构已将越来越关注这一严重问题。
事实上,由于勒索软件各版本众多,许多勒索软件作者已开始重新编写或干脆照抄他人的版本。例如,最新发现的Trojan-cryptor Polyglot (又称MarsJoke)就是对名声不佳(且危害更大)CTB-Locker勒索软件的”仿制”。
你可以在Polyglot身上看到不少CTB-Locker的痕迹。其界面不禁让人联想起了老式的木马病毒。它模仿CTB-Locker方式更改受害人的桌面壁纸,并为受害人免费解密5个文件以证明文件只是被锁定,而非损坏。
Polyglot向受害人发出的指示也与CTB-Locker如出一辙—感觉就是将文字直接复制和黏贴。甚至因网络未连接而弹出的”请求失败”窗口也一模一样。
Polyglot使用的加密算法也完全一样—而且强度更高。
Polyglot主要通过垃圾邮件传播—邮件内含恶意链接,声称指向某些重要文件。显然,根本没有什么文件—只是一个含恶意可执行文件的存档。一旦不幸安装,Polyglot即会连接其命令与控制服务器,随后发送有关受感染PC电脑的信息并处理赎金事宜。就我们遇到的情况,索要0.7个比特币(约合320美元)赎金。
CTB-Locker与其”克隆体”之间唯一表面的区别是:MarsJoke/Polyglot保留被加密文件的原始扩展名,而CTB-Locker则通常将扩展名更改为.ctbl或.ctb2。
尽管Polyglot和CTB-Locker之间有种种相类似之处,但却是两种完全不同的恶意软件类别。所用代码几乎没有一点相同。因此,我们的安全专家认为,通过模仿CTB-Locker的外观,Polyglot作者显然是想将研究人员带入错误的轨道。
众所周知,对于遭CTB-Locker加密的文件,除了支付赎金外目前还没有更好的解密方法。但就”里面的内容”而言,Polyglot和CTB-Locker之间没有任何相似之处。幸好,Polyglot作者在密钥生成器上犯了个错误,使得卡巴斯基实验室研究人员能够想出一个解决方案—能解密所有被锁文件的免费实用工具。
要想解密遭Polyglot/MarsJoke加密的文件,可以从noransom.kaspersky.com下载并安装免费RannohDecryptor实用工具(1.9.3.0或以上版本)。它能够恢复你的所有被锁文件。
老实说,我们碰到Polyglot/MarsJoke还是非常幸运的。恶意软件作者通常会不断调整和改进他们编写的软件。举个例子,在我们三次解决了CryptXXX的文件加密问题后,其作者终于调整加密算法,导致我们的工具无法处理。可能Polyglot作者也会走相同的道路。总结:你无法依赖某一款解密工具应对遇到的所有勒索软件。
避免勒索软件攻击的最好方法是在未形成实质性威胁前就予以消灭。而这正是出色的反病毒解决方案—比如:卡巴斯基安全软件 —在做的工作。
为了安全起见,我们还建议读者们经常备份自己的数据,并避免打开可疑附件或点击可疑链接。