看到陌生的word文檔,你可别急着打開,因為你的重要檔案可能是以被非法加密。近日,亞信安全就截獲了一個通過word文檔傳播的locky勒索軟體變種,這個名叫“w2km_locky.b”的勒索軟體會随着word文檔的打開而自動運作,加密使用者電腦中的重要檔案,進而勒索巨額贖金。對此,亞信安全建議使用者需要格外關注不明郵件、連結、檔案,利用安全軟體政策封鎖勒索軟體入侵,或者更新亞信安全産品,有效防範此類勒索軟體及其變種攻擊。
亞信安全研究人員發現,此次截獲的勒索軟體變種“w2km_locky.b”傳播方式與之前相似,都是通過僞裝成郵件附件進行傳播。不同的是,變種病毒的載體不同,之前的勒索軟體載體多數為js檔案,而此次截獲的病毒載體是插入惡意宏代碼的word文檔。一旦word文檔被運作,其會連結特定c&c伺服器接收和發送資訊,并下載下傳勒索軟體病毒,繼而加密計算機中的word、excle、ppt等重要辦公檔案,還會在桌面上顯示勒索資訊。
【勒索軟體在受害者電腦桌面上顯示的勒索資訊】
為了感染更多的使用者,不法分子很有可能通過社交工程攻擊的方式,有針對性地假借郵遞服務、電信、公共事業和政府機構通知的名義來制作誘餌,誘使受害者點選并打開郵件中的附件,以擷取更多的贖金。
【勒索軟體通過郵件來傳播】
亞信安全技術總經理蔡昇欽指出:“勒索軟體在今年第一季度已經成為使用者的頭号威脅因素,可能導緻使用者資料無法恢複乃至錢财被敲詐。而且勒索軟體還産生了大量小範圍傳播的變種,防護難度很大。特别是對于中小企業來說,由于其安全防護能力相對薄弱、支付贖金的意願較高,是以更容易成為勒索軟體的攻擊目标。”
要防範此類勒索軟體的攻擊,亞信安全建議使用者執行以下政策:
1. 不要打開來自未知或無法驗證發件人的電子郵件,當打開郵件附件時,更要注意檢視附件擴充名。
2. 不要點選電子郵件中的不明連結,在通路之前可以先檢查網站信譽度。
3. 由于許多勒索軟體加密的檔案暫時無法通過第三方還原,請注意備份重要文檔。備份的最佳做法是采取3-2-1規則,即至少做三個副本,用兩種不同格式儲存,并将副本放在異地存儲。
4. 亞信安全最新釋出的中國區病毒碼版本12.516.60已包含截止5月10日收到的所有變種,請及時更新病毒碼。
5. 使用亞信安全防毒牆網絡版(officescan 11 sp1)和 worry-free 9.0 sp2,開啟針對勒索軟體(ransomware)的行為阻止政策。
本文轉自d1net(轉載