都什么年代了,打开个Word文档还能中毒!Locky病毒疯狂传播

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 本文讲的是都什么年代了,打开个Word文档还能中毒!Locky病毒疯狂传播,如果你收到的邮件假扮成某公司的发票单,包含 Word 附件,在打开它之前应当三思而后行。

本文讲的是 都什么年代了,打开个Word文档还能中毒!Locky病毒疯狂传播,如果你收到的邮件假扮成某公司的发票单,包含 Word 附件,在打开它之前应当三思而后行。

image

如果打开,可能会使你的系统瘫痪,导致灾难性的破坏。目前认为,黑客有可能事先入侵网站,利用社会工程学,设置吸引眼球的骚扰邮件标题,吸引受害者在系统上安装致命的软件 Locky 。

如果你在自己的网盘文件中发现了 .locky 扩展名,恭喜!你被感染了,而且只剩下两个选择:从零开始重建 PC 系统,或者交出赎金。

Locky 勒索软件正以每小时4000个新感染的速度传播,这等于每天传染十万个新受害者。

微软宏回来了

到了2016年,很难想象还会存在仅通过 MS Word 文件宏,轻松感染受害者系统的情况。

image

不管怎样,黑客使用的黑客方法值得钦佩。

Locky 恶意软件通过微软365和 Outlook 电子邮件附件传播。传播的 Word 文档中内嵌了恶意的宏函数。

宏最开始出现于上个世纪九十年代。你肯定很熟悉这样的信息:“警告:该文档包含宏”。

现在,宏又回来了。网络罪犯们找到了让用户打开微软 Office 文档的信访室,特别是能够让宏自动运行的 Word 文件。

工作原理

在用户打开恶意 Word 文档后,doc 文件就被下载到了系统上。当用户打开这一文件,会发现内容混乱,弹出“打开宏”警告窗口。这时候,真正的危险就出现了。

image

一旦受害者启用恶意宏,他就会从远程服务器上下载一个可执行文件并运行;
这一可执行文件就是 Locky 勒索软件,一旦它运行,就会开始加密计算机和网络上的所有文件。
Locky 勒索软件会影响几乎所有文件类型,并将它们的扩展名替换成 .locky 。

加密完成后,勒索软件将弹出一条信息,引导被感染的受害者下载 TOR 浏览器,访问攻击者的网站获取后续指令,完成支付。

要想拿到解密密钥, Locky 恶意软件将要求受害者支付0.5至2比特币(约208到800美元)。 Locky 有一个有趣的特点,它支持多语言,这有助于其将支付赎金者的边界拓展至英语区以外,制造更多受害者。

Locky 甚至会加密你在互联网上存储的备份文件

这种新型的勒索软件也可以加密你在互联网上存储的备份文件。所以,你应当将敏感和重要的文件存储在第三方作为备份,以避免可能出现的恶意软件感染。

BleepingComputer 公司的研究人员凯文·博蒙特(Kevin Beaumont)和拉里·亚布拉罕(Larry Abrahms)首次发现了 Locky 勒索病毒的存在。

为了确定 Locky 产生的冲击,昨天,凯文成功截获了 Locky 的传输信息,发现这一勒索软件正在公网快速传播。

我估计,每天有超过10万个新的端点受到 Locky 感染,这绝对属于一次大规模网络安全事件:只要三天,就会有大约25万台 PC 遭到感染。
一小时内的感染数据统计

image

受到影响最大的国家有:德国、荷兰、美国、克罗地亚、马里、沙特、墨西哥、波兰、阿根廷、塞尔维亚。

原文发布时间为:二月 23, 2016
本文作者:Venvoo
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/13812.html

相关文章
|
云安全 开发框架 人工智能
|
SQL 监控 安全
网站木马清除对被植入木马 导致被西部数码关闭网站的解决办法
前段时间有一客户的网站打不开了,打开网站被提示什么:抱歉,主机因存在有害信息逾期未处理被关闭 Sorry, the site now can not be accessed. 客户第一时间找到我们SINE安全寻求解决方案,我们根据客户的反馈,进行详细的记录,分析问题,找到了被系统自动阻断拦截的原因,客户网站用的是西部数码主机,再一个主要的原因是,客户网站被篡改并上传了一些有害,违法的内容信息,导致被西部数码的有害信息监测处置系统监控到,立即进行了拦截,阻断处理。关于这个安全问题,我们记录下了整个的处理过程。
239 0
网站木马清除对被植入木马 导致被西部数码关闭网站的解决办法
|
安全 大数据 数据安全/隐私保护