如果你收到的郵件假扮成某公司的發(fā)票單,包含 Word 附件,在打開它之前應(yīng)當(dāng)三思而后行。
如果打開,可能會(huì)使你的系統(tǒng)癱瘓,導(dǎo)致災(zāi)難性的破壞。目前認(rèn)為,黑客有可能事先入侵網(wǎng)站,利用社會(huì)工程學(xué),設(shè)置吸引眼球的騷擾郵件標(biāo)題,吸引受害者在系統(tǒng)上安裝致命的軟件 Locky 。
如果你在自己的網(wǎng)盤文件中發(fā)現(xiàn)了 .locky 擴(kuò)展名,恭喜!你被感染了,而且只剩下兩個(gè)選擇:從零開始重建 PC 系統(tǒng),或者交出贖金。
Locky 勒索軟件正以每小時(shí)4000個(gè)新感染的速度傳播,這等于每天傳染十萬個(gè)新受害者。
微軟宏回來了
到了2016年,很難想象還會(huì)存在僅通過 MS Word 文件宏,輕松感染受害者系統(tǒng)的情況。
不管怎樣,黑客使用的黑客方法值得欽佩。
Locky 惡意軟件通過微軟365和 Outlook 電子郵件附件傳播。傳播的 Word 文檔中內(nèi)嵌了惡意的宏函數(shù)。
宏最開始出現(xiàn)于上個(gè)世紀(jì)九十年代。你肯定很熟悉這樣的信息:“警告:該文檔包含宏”。
現(xiàn)在,宏又回來了。網(wǎng)絡(luò)罪犯?jìng)冋业搅俗層脩舸蜷_微軟 Office 文檔的信訪室,特別是能夠讓宏自動(dòng)運(yùn)行的 Word 文件。
工作原理
在用戶打開惡意 Word 文檔后,doc 文件就被下載到了系統(tǒng)上。當(dāng)用戶打開這一文件,會(huì)發(fā)現(xiàn)內(nèi)容混亂,彈出“打開宏”警告窗口。這時(shí)候,真正的危險(xiǎn)就出現(xiàn)了。
一旦受害者啟用惡意宏,他就會(huì)從遠(yuǎn)程服務(wù)器上下載一個(gè)可執(zhí)行文件并運(yùn)行;
這一可執(zhí)行文件就是 Locky 勒索軟件,一旦它運(yùn)行,就會(huì)開始加密計(jì)算機(jī)和網(wǎng)絡(luò)上的所有文件。
Locky 勒索軟件會(huì)影響幾乎所有文件類型,并將它們的擴(kuò)展名替換成 .locky 。
加密完成后,勒索軟件將彈出一條信息,引導(dǎo)被感染的受害者下載 TOR 瀏覽器,訪問攻擊者的網(wǎng)站獲取后續(xù)指令,完成支付。
要想拿到解密密鑰, Locky 惡意軟件將要求受害者支付0.5至2比特幣(約208到800美元)。 Locky 有一個(gè)有趣的特點(diǎn),它支持多語言,這有助于其將支付贖金者的邊界拓展至英語區(qū)以外,制造更多受害者。
Locky 甚至?xí)用苣阍诨ヂ?lián)網(wǎng)上存儲(chǔ)的備份文件
這種新型的勒索軟件也可以加密你在互聯(lián)網(wǎng)上存儲(chǔ)的備份文件。所以,你應(yīng)當(dāng)將敏感和重要的文件存儲(chǔ)在第三方作為備份,以避免可能出現(xiàn)的惡意軟件感染。
BleepingComputer 公司的研究人員凱文·博蒙特(Kevin Beaumont)和拉里·亞布拉罕(Larry Abrahms)首次發(fā)現(xiàn)了 Locky 勒索病毒的存在。
為了確定 Locky 產(chǎn)生的沖擊,昨天,凱文成功截獲了 Locky 的傳輸信息,發(fā)現(xiàn)這一勒索軟件正在公網(wǎng)快速傳播。
我估計(jì),每天有超過10萬個(gè)新的端點(diǎn)受到 Locky 感染,這絕對(duì)屬于一次大規(guī)模網(wǎng)絡(luò)安全事件:只要三天,就會(huì)有大約25萬臺(tái) PC 遭到感染。
一小時(shí)內(nèi)的感染數(shù)據(jù)統(tǒng)計(jì)
受到影響最大的國(guó)家有:德國(guó)、荷蘭、美國(guó)、克羅地亞、馬里、沙特、墨西哥、波蘭、阿根廷、塞爾維亞。