研究人員揭露新勒索軟體Zeoticus 2.0，不需要接收中繼站指令，就會加密電腦的檔案及橫向感染

在勒索軟體的運作過程裡，往往要先藉由C&C中繼站接收指令才能執行，使得過往遇到相關攻擊時，許多人會先拔掉網路線來阻止事態變得更加嚴重，但這招可能對新的勒索軟體無效。因為，最近資安公司SentinelOne研究人員揭露，一款自去年12月出現於地下論壇的勒索軟體Zeoticus 2.0，就採用了這樣罕見的機制，這代表著受害電腦即使沒有連接網際網路，這款勒索軟體照樣會加密磁碟裡的檔案。

該公司也對該勒索軟體提供入侵指標（IoC），包含了檔案的SHA1與SHA256雜湊值，以及MITRE ATT&CK攻擊手法類別，以便網管人員加以防範。

研究人員指出，Zeoticus家族最早自2020年初，出現於地下論壇與市集銷售，而當時是以客製化的方式提供給買家。在這個系列推出的2.0版中，開發的駭客主打的就是能支援離線執行，而且可在所有的Windows作業系統運作。SentinelOne認為，該款勒索軟體應該能在Windows XP與更舊版本的視窗作業系統上執行。不過，Zeoticus 2.0在俄國、白俄羅斯、吉爾吉斯等國家不會運作。

除此之外，Zeoticus 2.0加密檔案的方法也很特別，同時包含了對稱加密演算法與非對稱加密演算法，而且是採用加密速度較快、較為少見的演算法。對稱加密演算法的部分，駭客運用了XChaCha20，並搭配非對稱加密演算法Poly1305、XSalsa20，以及Curve25519。受害電腦的檔案被加密後，檔案的副檔名會變成連繫駭客的電子郵件信箱，再加上2020END字串的組合。

而在Zeoticus 2.0完成檔案加密後，會在磁碟根目錄（如C:\WINDOWS）留下勒索訊息README.HTML，不像舊的1.0版以桌布來呈現連繫駭客的資訊。

研究人員截圖呈現Zeoticus 2.0版（左）與1.0版（右）勒索訊息的差異。我們可以看到左圖具備詳細的說明，包含提供購買比特幣的網址，以及為取信受害者，駭客提供免費解密1個檔案，但這個檔案必須小於1MB，而且僅限於特定文件與圖片檔案格式。