網(wǎng)絡(luò)安全公司vira研究人員近期發(fā)現(xiàn)勒索軟件 Locky出現(xiàn)新型變種，不僅可以通過僵尸網(wǎng)絡(luò)Necurs開展大規(guī)模釣魚攻擊活動，還可利用動態(tài)數(shù)據(jù)交換（DDE）協(xié)議進行數(shù)據(jù)傳輸，從而規(guī)避安全軟件檢測的同時竊取用戶重要信息。

研究顯示，目前黑客主要通過合法的 Libre 與 Office 文件肆意分發(fā)惡意軟件。一旦用戶打開該惡意文件后系統(tǒng)將會自動觸發(fā)一系列程序，從而最終在受害設(shè)備上對用戶文件進行加密處理后發(fā)送到指定 C&C 服務(wù)器。研究人員在分析該惡意文件時還發(fā)現(xiàn)其中包含一份 LNK 文檔，允許黑客通過粘貼的方式將命令復(fù)制到用戶文本編輯器中，以便運行 PowerShell 腳本。

研究人員表示，該腳本內(nèi)容清晰、極易閱讀，其目的是從腳本嵌入的鏈接中下載另一個 PowerShell 腳本并通過 Invoke-Expression 函數(shù)運行。然而，第二個腳本所連接的服務(wù)器由黑客控制，并在下載該腳本時自動運行一份 Windows 可執(zhí)行文件，其中包含多個階段的混淆代碼，以致誘導(dǎo)用戶認(rèn)為這是一個安全的文件。目前，研究人員認(rèn)為勒索軟件 Locky 的快速演變在當(dāng)今的威脅領(lǐng)域中著實令人擔(dān)憂，因為它還將繼續(xù)進行深度 “優(yōu)化”，從而感染更多設(shè)備