迟来的礼物？勒索软件FilesLocker给各位金钥

Posted 2021-01-31

甫于去年10月问世的勒索软件FilesLocker作者在圣诞节版的FilesLocker中附上了解密密钥，勒索软件研究人员Michael Gillespie则利用此一密钥建立了解密机制，并与资安新闻网站BleepingComputer合作，协助受害者解密遭到FilesLocker加密的档案。FilesLocker是个去年10月才现身的勒索软件，提供英文与简体中文的接口，而且它一出现就是采用勒索软件即服务（Ransomware as a Service，RaaS）的形式，邀请众多***加入以协助散布，双方再拆分不法利益所得，负责散布的***可得到60%的酬劳，若有更大的流量与营收贡献则可提高到75%，其它则归FilesLocker开发者所有。

在感染用户计算机之后，FilesLocker会加密使用者的桌面、文件、音乐、图片或其它档案，并向受害者勒索0.18个比特币，它还在去年底应景地推出了拥有圣诞树及雪人背景的圣诞节版。前三大遭到FilesLocker感染的地区分别是美国、中国与荷兰。不过，资安研究人员发现，圣诞节版的FilesLocker加密了受害者的档案之后，会在系统的默认浏览器上开启一个连至Pastebin的窗口，上面含有文字讯息与一个RSA密钥，且该密钥为FilesLocker的主要解密密钥。Gillespie即利用此一密钥建立了解密机制，能够解密遭到FilesLocker加密的档案，且同时适用于两个版本的FilesLocker。过去也曾发生勒索软件开发者主动释出解密密钥的例子，有时是因终止勒索项目，有时只为了版本的更新，这次FilesLocker作者可能只是送上一份圣诞礼物。但在该作者公布解密密钥时，在文末附上了「结束是另一个开始」（The end is just the beginning）的字眼，透露出他可能会发展其它恶意项目。