• 保存到桌面  加入收藏  设为首页
乐虎国际

点击Office文档就中招 Locky病毒卷土重来

时间:2017-11-08 18:08:58  作者:admin  来源:病毒  浏览:76  评论:0
内容摘要:  原标题:点击Office文档就中招Locky病毒卷土重来近日,据腾讯安全联合实验室反病毒实验  近日,据腾讯安全联合实验室反病毒实验室监测发现,一种利用Office新型漏洞Locky病毒的钓鱼邮件正在大规模爆发,一旦用户点下载了钓鱼邮件中的Office附件,并遵照该Offic...

  原标题:点击Office文档就中招 Locky病毒卷土重来 近日,据腾讯安全联合实验室反病毒实验

  近日,据腾讯安全联合实验室反病毒实验室监测发现,一种利用Office新型漏洞Locky病毒的钓鱼邮件正在大规模爆发,一旦用户点下载了钓鱼邮件中的Office附件,并遵照该Office文件打开时的提醒操作电脑,个人电脑上的文档资料将被加密。

  目前,腾讯电脑管家已经全面拦截查杀该类恶意Office文件,及Locky病毒,广大用户无需惊慌。同时还可以下载安装腾讯电脑管家“文档守护者2.0”,全方位个人文档安全。

  这次的病毒在方式上较为繁琐,为了达到目的运用了多种手段组合用户。据腾讯安全联合实验室反病毒实验室分析发现,病毒最初来源于精心伪造的钓鱼邮件,邮件主题也多为与、文档有关,而邮件的正文部分常为空白,诱使用户点击。

  如果收件人粗心大意,下载点击附件中的Office文档,Office就会先弹出第一个对话框提示“该文档包含的域可能包含引用了其他文件,是否更新文档中的这些域”。

点击Office文档就中招_Locky病毒卷土重来

  一旦用户不假思索或由于失误操作连续两次点击“是”,隐藏在文档中的恶意DDE代码就会调用powershell脚本下载恶意程序,loader程序会与C&C通信下载软件并加载执行,最终加密用户电脑数据以达到数据钱财的目的。

  这里对于DDE文档的利用不仅是设置的第二道迷障,也是此次的核心所在。Windows为应用之间进行数据传输提供了多种传输方式,其中一种叫做动态交换协议,简称DDE协议,应用程序可以使用DDE协议进行数据传输和持续交换。恶意软件的这种利用方式不会触发Office的宏安全,也可绕过传统杀毒软件的宏病毒防御。

  DDE文档是最近的一种新的手法,者不需要目标宏即可执行任意命令,如果安全意识不够强的话很容易中招。在DDE执行代码的技术细节被公开后的前几天中,鲜有恶意文档利用这种技术,但随着时间的推移,这种利用方式出现得越来越多。

点击Office文档就中招_Locky病毒卷土重来

  过去几年,基于宏的文档技术一直是主流,虽然需要用户主动进行确认,但是的成功率依然非常的高。不过,近段时间来,使用Office DDE技术来恶意文件的方法已经越来越流行。该技术也很快被FIN7组织、Necurs僵尸网络所采用,用来进行APT,以及用来病毒。

  腾讯电脑管家安全专家、腾讯安全联合实验室反病毒实验室负责人马劲松表示,Office DDE技术已经开始替代了传统的宏技术,成为当前使用Office为载体病毒的新宠。

  这次的病毒由于使用了较为新颖的方法,后续有进一步爆发的可能。腾讯电脑管家在梳理此次之后结合其特点给出了一下具体防护。

  第一,者在过程中使用了钓鱼邮件做为的最初载体。因此做好安全教育,不随意打开陌生人发送的文件可以最快的阻断。

  第二,用户尽快排查自身网络内是否有C&C地址的访问,一旦发现有终端主机对下述的C&C地址发起请求连接,则极有可能已经沦陷。

点击Office文档就中招_Locky病毒卷土重来

  同时用户安装腾讯电脑管家等终端安全产品,保持终端安全产品的及时更新从而达到有效防护。目前,腾讯电脑管家和哈勃分析系统已经能够识别和查杀此类文档文件和loader程序。

  第三,用户一旦感染病毒将很难找回文件,用户做事前防御工作。目前腾讯电脑电脑管家升级上线了旗下的文档体系——文档守护者2.0,基于管家的安全防御体系,通过对系统引导、边界防御、本地防御、执行、改写,备份等多个环节的构建完整的防御方案,用户的文档不被加密。通过全网拦截引擎,可实现对包括Locky在内的430种病毒样本的免疫;同时还能提供对未知的病毒的拦截能力,并自动备份全盘文档,进一步用户文档安全。


相关评论