疫情还未结束，黑客纷纷复工。前有利用“冠状病毒”热词攻击外贸航运的间谍木马盗取信息，后有利用论坛传播的”已锁定“勒索病毒兴风作浪，非常时期的网络安全隐患逐渐浮出水面，网络犯罪日渐飙升，这个2020年注定不凡。

近日，“已锁定”勒索病毒再度更新。作为2020年国产勒索病毒的“新星”，其加密用户文件后会修改后缀名为“已锁定”，彼时感染了数千用户。如今，不足月余的时间，它便携新版本卷土重来。

围绕传播渠道、加密算法等攻击方式，种种迹象表明，V2版本的“已锁定”经过一轮升级更新之后，攻击爪牙愈发尖利，正在伺机发起更大规模的勒索病毒攻击风暴。

在上一版本中，“已锁定”勒索病毒主要采用网络代理工具、高铁采集器广告传播，而在本次更新中，它转而将用户覆盖面更广的论坛广告作为其主要的扩散阵地，这无疑大大提升了病毒的扩散速度。

更为重要的是，“已锁定”勒索病毒除了在传播方式上略有变化之外，在加密算法上也进行了优化。此前它主要采用文件大小作为加密KEY，而在V2版本中，“已锁定”虽然仍然只对文件前4KB进行加密，但却使用了更为复杂的密钥生成算法，使用的KEY也做了很大的修改。

如下图所示，病毒作者在勒索病毒程序请求服务器列表的时候就已经带上了留给中招用户的勒索赎金提示文字。同时，已锁定勒索病毒还会通过获取中招设备的机器码，生成一个“MAC“信息，和生成的密钥一并POST回服务器。所以一般来讲，受害者联系黑客之后，病毒作者可以通过机器码识别到具体的中招用户以及文件加密密钥。

更有意思的是，此前“已锁定“勒索病毒主要通过连接云端数据库来决定是否执行加密代码，而在本次更新中，攻击者为方便控制本次病毒的潜伏期，会设定程序启动后每20分钟发起一次请求，查询是否需要加密。这样一来，中招用户便难以察觉到机器中招的根本原因。