3月24日上午,铜陵市公安局网安支队接到该市某企业员工报案,称:其电脑内的文档等文件被加密成后缀名为“lock”的文件,内容无法看到。电脑界面上提示按照其指定的方式付款后才能给予解开。
据公安局网安支队副支队长戴华介绍,此电脑中文档是被一种名为“Locky勒索者”的恶意软件加密后造成的。经分析发现,这是一类利用垃圾邮件进行传播的勒索软件,是首例具有中文提示的比特币勒索软件,这说明犯罪集团的矛头已开始指向中国用户。
黑客向受害者邮箱发送带有恶意word文档的Email,word文档中包含有黑客精心构造的恶意宏代码,受害者打开word文档并运行宏代码后,主机会主动连接指定的web服务器, 下载locky恶意软件到本地Temp目录下,并强制执行。locky恶意代码被加载执行后,主动连接黑客C&C服务器,执行上传本机信息,下载 加密公钥。
恶意代码执行的关键一步是宏代码的手动启用。doc文件使用Word 2003打开即可运行宏代码。而Office 2007及以上版本的Office软件时,宏代码是否能运行对后缀名有严格的要求,保证Office 2007以上版本也能执行恶意代码,这需要用户手动启用。 因此只有用户单击“启用宏”,恶意代码才能得到执行。
勒索软件“Locky”能给攻击者带来巨大的收益,因其使用比特币进行交易,所以很难追踪;一旦用户感染了勒索软件,只能付费进行解密或是丢弃这些文件。即使支付赎金也不一定能保证可以完全恢复被加密的文件。
据戴华副支队长介绍,这也是今年首次碰到此类勒索恶意软件,说明此类攻击已登陆铜陵市企业,主要通过邮件中的恶意文档来进入受害者电脑。目前,加密后的文件很难被找回已为业界公认。对付勒索类恶意软件依然是以预防为主:定期备份重要文件,当心陌生邮件及附件,在打开带宏代码的Office文件时应特别注意,确认可信后再启用宏运行。 (戴华 吴彬 记者 刘海泉)
来自:安徽财经网
