本文讲的是 都什么年代了,打开个Word文档还能中毒!Locky病毒疯狂传播,如果你收到的邮件假扮成某公司的发票单,包含 Word 附件,在打开它之前应当三思而后行。
如果打开,可能会使你的系统瘫痪,导致灾难性的破坏。目前认为,黑客有可能事先入侵网站,利用社会工程学,设置吸引眼球的骚扰邮件标题,吸引受害者在系统上安装致命的软件 Locky 。
如果你在自己的网盘文件中发现了 .locky 扩展名,恭喜!你被感染了,而且只剩下两个选择:从零开始重建 PC 系统,或者交出赎金。
Locky 勒索软件正以每小时4000个新感染的速度传播,这等于每天传染十万个新受害者。
微软宏回来了
到了2016年,很难想象还会存在仅通过 MS Word 文件宏,轻松感染受害者系统的情况。
不管怎样,黑客使用的黑客方法值得钦佩。
Locky 恶意软件通过微软365和 Outlook 电子邮件附件传播。传播的 Word 文档中内嵌了恶意的宏函数。
宏最开始出现于上个世纪九十年代。你肯定很熟悉这样的信息:“警告:该文档包含宏”。
现在,宏又回来了。网络罪犯们找到了让用户打开微软 Office 文档的信访室,特别是能够让宏自动运行的 Word 文件。
工作原理
在用户打开恶意 Word 文档后,doc 文件就被下载到了系统上。当用户打开这一文件,会发现内容混乱,弹出“打开宏”警告窗口。这时候,真正的危险就出现了。
一旦受害者启用恶意宏,他就会从远程服务器上下载一个可执行文件并运行;
这一可执行文件就是 Locky 勒索软件,一旦它运行,就会开始加密计算机和网络上的所有文件。
Locky 勒索软件会影响几乎所有文件类型,并将它们的扩展名替换成 .locky 。
加密完成后,勒索软件将弹出一条信息,引导被感染的受害者下载 TOR 浏览器,访问攻击者的网站获取后续指令,完成支付。
要想拿到解密密钥, Locky 恶意软件将要求受害者支付0.5至2比特币(约208到800美元)。 Locky 有一个有趣的特点,它支持多语言,这有助于其将支付赎金者的边界拓展至英语区以外,制造更多受害者。
Locky 甚至会加密你在互联网上存储的备份文件
这种新型的勒索软件也可以加密你在互联网上存储的备份文件。所以,你应当将敏感和重要的文件存储在第三方作为备份,以避免可能出现的恶意软件感染。
BleepingComputer 公司的研究人员凯文·博蒙特(Kevin Beaumont)和拉里·亚布拉罕(Larry Abrahms)首次发现了 Locky 勒索病毒的存在。
为了确定 Locky 产生的冲击,昨天,凯文成功截获了 Locky 的传输信息,发现这一勒索软件正在公网快速传播。
我估计,每天有超过10万个新的端点受到 Locky 感染,这绝对属于一次大规模网络安全事件:只要三天,就会有大约25万台 PC 遭到感染。
一小时内的感染数据统计
受到影响最大的国家有:德国、荷兰、美国、克罗地亚、马里、沙特、墨西哥、波兰、阿根廷、塞尔维亚。