นักวิจัยด้านความมั่นคงปลอดภัยของ Avira ผู้ให้บริการโปรแกรม Antivirus ชั้นนำ ออกมาเปิดเผยถึง Locky Ransomware เวอร์ชันใหม่ ที่มีกลไก Fallback ช่วยให้สามารถเข้ารหัสไฟล์ข้อมูลบนเครื่องของเหยื่อแบบออฟไลน์ ต่อให้ไม่สามารถเชื่อมต่อกับ C&C Server ได้ก็ตาม
ใช้ RSA Asymmetric Encryption ในการเข้ารหัสไฟล์ข้อมูล
โดยปกติแล้ว หลังจากที่ Locky ถูกติดตั้งลงบนเครื่องของเหยื่อ มันจะเชื่อมต่อกับอินเทอร์เน็ตเพื่อรับคำสั่งและขอกุญแจสำหรับเข้ารหัสไฟล์ข้อมูล จาก C&C Server ของแฮ็คเกอร์ ซึ่งปกติจะใช้การเข้ารหัสแบบ Asysmetric คือ ใช้ Public Key ในการเข้ารหัสไฟล์ข้อมูลของเหยื่อ และใช้ Private Key ในการปลดรหัส (ไม่สามารถใช้ Public Key ในการปลดรหัสได้) ในกรณีที่มัลแวร์ไม่สามารถติดต่อกับ C&C Server ได้ กุญแจที่ใช้เข้ารหัสจะไม่ถูกส่งมา ทำให้มัลแวร์ไม่สามารถเข้ารหัสข้อมูลได้
ใช้ AES Encryption ในการเข้ารหัสไฟล์แทนขณะออฟไลน์
กรณีนี้ Locky Ransomware เวอร์ชันใหม่จะใช้การเข้ารหัสข้อมูลแบบ Symmetric แทน กล่าวคือ จะทำการสร้างกุญแจสำหรับเข้ารหัสไฟล์ข้อมูลแบบ AES แล้วทำการเข้ารหัสไฟล์ทั้งหมดก่อน จากนั้น เมื่อสามารถติดต่อกับ C&C Server ได้ ค่อยสร้างคู่กุญแจ Public Key และ Private Key มาเข้ารหัสกุญแจ AES แทน เพื่อไม่ให้เหยื่อสามารถถอดกุญแจ AES ออกมาเพื่อปลดรหัสไฟล์ข้อมูลได้
ข่าวดีก็คือ กุญแจ AES ที่ใช้เข้ารหัสไฟล์ขณะออฟไลน์ เป็นกุญแจที่ใช้ร่วมกันทั้งหมด นั่นหมายความว่า ถ้ามีใครจ่ายค่าไถ่เพื่อให้ได้ Private Key มาปลดรหัสกุญแจ AES นี้แล้ว สามารถนำกุญแจ AES ที่ได้ไปปลดรหัสเครื่องอื่นๆ ที่ออฟไลน์อยู่ได้ทันที