卡巴斯基實驗室(Kaspersky Lab)周一(10/3)釋出了勒索程式MarsJoke的解密工具。
MarsJoke又名Polyglot ,是今年8月才出現的勒索程式,鎖定政府及教育機構展開攻擊。它透過夾帶著惡意RAR附加檔案的電子郵件散布,該檔案內含加密程式,執行後系統上的檔案名稱並不會改變,卻已被加密而無法存取。 在完成加密後,MarsJoke會將電腦上的桌布替換成勒索訊息,並要求使用者以比特幣支付贖金以將檔案解密。
Securelist表示,MarsJoke引起注意的原因是它跟惡名昭彰的另一勒索程式CTB-Locker很像,它們擁有類似的介面、語言切換功能、步驟、付款頁面及勒索桌布等,但其實它們並未使用任何共同的程式碼,也許MarsJoke偽裝成CTB -Locker只是為了迷惑研究人員及受害者,讓他們以為除了支付贖金之外別無他法。
卡巴斯基實驗室分析MarsJoke之後即發現,此一勒索程式所使用的加密金鑰產生器比CTB-Locker弱很多,在標準規格的PC上花不到1分鐘就能暴力搜尋MarsJoke所有可能的解密金鑰,因而順手打造了解密工具以協助受到MarsJoke影響的使用者解密檔案。
卡巴斯基的惡意程式分析師Anton Ivanov指出,這個例子告訴我們永遠不要放棄,勒索程式對所有使用者而言已然是個嚴重的問題,可有時候還是能找到解決之道。
受到影響的使用者可造訪由卡巴斯基實驗室旗下的NoRansom網站,下載及安裝免費的RannohDecryptor即可解密檔案。