新型word文档勒索病毒Locky出现,感染达十万台计算机

  • 内容
  • 评论
  • 相关

如果你最近收到一封邮件,而这封邮件里面包含一个微软word文档,那么你就需要小心了。

微软宏病毒归来

如果评选世界上最善良的文件,Word文档应该榜上有名。很少有人会把“.doc”文件和黑客手中的杀人利器联系起来。

然而,事实正好相反。上世纪90年代,就有“宏病毒”出现,病毒制造者利用word的特性,在文档中内嵌破坏性的程序。不过,由于技术的限制,当年“宏病毒”并不能造成毁灭性的影响。

20多年过去了,古老的封印再一次被打开。这一次,Word文档不再是当年那个手无缚鸡之力的书生,而变成手法毒辣的“文字幽灵”。

024f78f0f736afc385f3ff0eb419ebc4b64512da

【乌克兰某电力公司高管收到的文件,如果点击同意,就会陷入黑客构建的木马陷阱之中】

从2015年开始,利用Word文档传播木马的方法就在“重量级黑客”中重新流行。

屡次攻击中国通信企业的黑客组织“暗黑客栈”,常用的攻击方法就是向企业高管发送一封电子邮件,附件中携带一个Word或Excel文件。一旦打开这个文件,系统会提示需要加载“宏”才能继续阅读。一旦选择加载,则会从黑客指定的服务器下载木马,窃取电脑上的机密信息。

攻击乌克兰电网造成一百多万人口陷入停电的神秘黑客,同样被发现向电厂的管理者发送电子邮件,里面携带了一个Excel附件。同样的道理,点击加载宏之后,就会允许黑客在电脑上植入木马,从而被彻底控制。(在攻击原理上,Word和Excel是一样的。)

以上这些,都是黑客针对特定的组织发起的攻击。2016年,这种攻击方式正在迅速对准像你我一样的普通人。

恶意攻击者会开展社会工程学攻击,或通过发送引人注目的垃圾邮件,接下来会诱导受害者访问虚假网站在其系统中安装一款恶意软件“Locky”。如果你发现你的电脑中出现了文件后缀名为.locky 的文件,那么你就感染了该恶意软件,接下来你可以做两件事情,要么按照提示支付赎金,要么重现安装系统。该款恶意软件以4000台/小时速度传播,这意味着每天会出现100000台新感染的计算机。在2016年这的确是一个很难接受的事实,一个带有宏病毒的微软文档也可以轻松破坏你的计算机系统。从这一点上可以看出一些恶意攻击者的入侵思路。

恶意软件Locky可以以附件的形式添加进microsoft office 365 或Outlook中(Word文件中嵌入恶意的宏),宏”的概念可以追溯到上世纪90年代,你可能很了解这样一个信息提示:隐私问题警告:此文档中包含宏,现在恶意宏病毒回来了,而这种方式也作为恶意攻击攻击计算机系统的一种新方式。一旦计算机用户打开文件,那么文档就会自动运行宏。一旦计算机用户打开一个恶意word文档,文档被打开接下来病毒就会感染计算机系统。值得注意的是,当打开文件后会发现文件内容是乱码状态,然后弹出一个对话框上面显示“enable macros”。

更糟糕的情况

一旦受害者感染了宏病毒,那么接下来就会出现这样一个情况,他/她会从远程服务器下载一个可执行文件然后运行它。而这个文件是无关紧要的,因为恶意软件Locky已经开始加密你计算机的所有文件。该恶意软件几乎影响到了所有的文件格式以及后缀名。一旦完成整个过程,会出现这样一个信息,指示受害者下载Tor然后去访问指定的网站然后迫使受害者支付赎金。

该恶意软件要求受害者支付0.5-10比特币(208美元至4300美元),才能获得解密的密匙。值得注意的是,该恶意软件有很多语言版本,并以最大限度的提高感染数量。

【最近几天,有关“勒索”的信息在google上查询的频率激增,可见德国和南非的受害者最多】

这款恶意软件的亮点是可以加密网络备份文件,这个木马会自动探测用户的云备份账户,如果用户文件在云上有备份,黑客们会同时把云端的文件也进行加密。所以将敏感的个人隐私信息备份或者转存到其它存储设备上是很有必要的,这样做可以躲避该类型恶意勒索软件。一名安全研究人员 Kevin Beaumont发现了该种恶意软件的存在。改名研究人员成功的拦截了恶意软件的网络流量数据,并发现该恶意勒索软件正在迅速蔓延。

Kevin在博客中表示

“我估计每天会新增100000台感染该类恶意软件的计算机,该事件是这三天发生的重大安全事件,约25万台个人电脑将会被感染。”

而目前受到影响的国家包括德国、荷兰、美国、克罗地亚、马里、沙特阿拉伯、墨西哥、波兰、阿根廷等国家。

转载请来自:FreeBuf黑客与极客(FreeBuf.COM)