近期一款名为“Locky”的勒索软件又爬上了众多海外媒体的头条。从目前捕获和报告的情况来看,此Locky采用了攻击最常使用的Email钓鱼的方式,以广撒网的“垃圾邮件”形式发送一封求助邮件,并附加一份名为“xx发票/收据”的Word文档附件。而邮件内容则是说发票在此,请按照附件(Word文档)中的信息打款。
然而这份Word文档打开后是如下的模样:
文档打开后是乱码,并有一行红字标明如果无法正确解码,请启用宏。如上图中红框所示,Word文档默认配置是禁用宏的。一旦用户成功“被骗”启用了宏,则就成功中招(Fortinet在此提示如果不是完全信任此文档,并且非启用宏不可的时候,不要启用宏)。中招的结果就是宏代码会从远程服务器下载Locky勒索软件的本体到临时文件夹并自动执行,结果就是会开始加密电脑中的全部文件,而且会把文件名混杂成不可读的样子并且将扩展名改为.locky,比如这样:F67091F1D24A922B1A7FC27E19A9D9BC.locky。
之后,在Windows桌面和每一个文件夹内都会出现一个新的可读的txt文档,这个就是勒索信息,同时桌面背也会被勒索信息所替换,要求受害者使用比特币付款,0.5到1个比特币(价值200到400美金)。
链接关联的页面:
关于宏:
现在的大部分文字处理程序,电子表格和数据库都包含功能强大的程序语言,允许在文档中使用命令序列。这些命令序列或小程序就被叫做宏。
关于宏病毒:
利用宏功能的恶意程序被统称为宏病毒。宏病毒利用宏语言能进行任何操作。与传统的病毒相比,宏病毒的最新特色是它们不依赖操作系统。例如Microsoft Word宏病毒能在任何安装过Microsoft Word的系统中运行(Windows或MAC)。
防护建议:
1.仔细确认邮件发件方为已知有联系的人员(确认完整邮箱名,包含前缀和后缀)
2.确认附件文档为必要打开文档。
3.在不必须状态下不要启用宏。
4.将反病毒软件保持为最新版本。
Fortinet在第一时间已经捕获此病毒样本,并且已经生成签名。使用Fortinet安全产品(如FortiGate防火墙,FortiClient终端安全客户端)的用户只要将特征库更新为最新版本即可免遭此勒索软件的威胁。
Fortinet为此勒索软件更新的签名:
IPS 签名: Locky.Botnet
AV 签名: W32/Kryptik.EOEN!tr;W32/Filecoder.NFX!tr;W32/Reconyc.FETU!tr