研究人员揭露新勒索软件Zeoticus 2.0，不需要接收中继站指令，就会加密电脑的档案及横向感染

在勒索软件的运作过程里，往往要先借由C&C中继站接收指令才能执行，使得过往遇到相关攻击时，许多人会先拔掉网络线来阻止事态变得更加严重，但这招可能对新的勒索软件无效。因为，最近资安公司SentinelOne研究人员揭露，一款自去年12月出现于地下论坛的勒索软件Zeoticus 2.0，就采用了这样罕见的机制，这代表着受害电脑即使没有连接互联网，这款勒索软件照样会加密磁盘里的档案。

该公司也对该勒索软件提供入侵指标（IoC），包含了档案的SHA1与SHA256杂凑值，以及MITRE ATT&CK攻击手法类别，以便网管人员加以防范。

研究人员指出，Zeoticus家族最早自2020年初，出现于地下论坛与市集销售，而当时是以客制化的方式提供给买家。在这个系列推出的2.0版中，开发的骇客主打的就是能支援离线执行，而且可在所有的Windows操作系统运作。SentinelOne认为，该款勒索软件应该能在Windows XP与更旧版本的视窗操作系统上执行。不过，Zeoticus 2.0在俄国、白俄罗斯、吉尔吉斯等国家不会运作。

除此之外，Zeoticus 2.0加密档案的方法也很特别，同时包含了对称加密算法与非对称加密算法，而且是采用加密速度较快、较为少见的算法。对称加密算法的部分，骇客运用了XChaCha20，并搭配非对称加密算法Poly1305、XSalsa20，以及Curve25519。受害电脑的档案被加密后，档案的副档名会变成连系骇客的电子邮件信箱，再加上2020END字串的组合。

而在Zeoticus 2.0完成档案加密后，会在磁盘根目录（如C:\\WINDOWS）留下勒索讯息README.HTML，不像旧的1.0版以桌布来呈现连系骇客的资讯。

研究人员截图呈现Zeoticus 2.0版（左）与1.0版（右）勒索讯息的差异。我们可以看到左图具备详细的说明，包含提供购买比特币的网址，以及为取信受害者，骇客提供免费解密1个档案，但这个档案必须小于1MB，而且仅限于特定文件与图片档案格式。