TurboMail工程師重要提醒：Locky病毒爆發(fā)，慎重打開郵件中的Word附件

在全球瘋狂傳播的”Locky”病毒，目前也開始在中國國內(nèi)大肆傳播，TurboMail郵件系統(tǒng)工程師提醒廣大郵箱管理員，有必要馬上通知所有的郵箱用戶小心處理含有Word附件的郵件，如發(fā)現(xiàn)有異常，不要點擊查看Word附件。

下圖為TurboMail郵件系統(tǒng)攔截的一個”Locky”病毒郵件的案例。

2月19日，德國媒體報道，一款家族名為”Locky”的勒索者惡意軟件每小時感染德國5300臺計算機，Locky由此進(jìn)入人們視野。目前，Locky已經(jīng)蔓延到包括德國、荷蘭、美國在內(nèi)的十幾個國家，國內(nèi)知名論壇上也陸續(xù)開始出現(xiàn)關(guān)于Locky的討論，不少人在尋求文件被修改“.lock”的加密文件后的解決方案，可見部分國內(nèi)網(wǎng)民已經(jīng)中招，而某寶上也有公開出售Locky的解密密鑰。幾乎同時，金山安全接到多個企業(yè)報警顯示Locky已在其內(nèi)網(wǎng)蔓延，并影響到生產(chǎn)環(huán)節(jié)，事態(tài)進(jìn)一步升級。

金山安全反病毒實驗室采集到Locky樣本，分析發(fā)現(xiàn)勒索提示可以顯示中文，可見此次勒索事件與以往“國外中招，中國躺槍”不同，犯罪集團(tuán)的矛頭開始指向中國用戶。

Locky攻擊流程

如圖所示，黑客向受害者郵箱發(fā)送帶有惡意word文檔的Email，word文檔中包含有黑客精心構(gòu)造的惡意宏代碼，受害者打開word文檔并運行宏代碼后，主機會主動連接指定的web服務(wù)器，下載locky惡意軟件到本地Temp目錄下，并強制執(zhí)行。locky惡意代碼被加載執(zhí)行后，主動連接黑客C&C服務(wù)器，執(zhí)行上傳本機信息，下載加密公鑰。locky遍歷本地所有磁盤和文件夾，找到特定后綴的文件，將其加密成“.locky”的文件。加密完成后生成勒索提示文件。

惡意代碼執(zhí)行的關(guān)鍵一步是宏代碼的手動啟用。多數(shù)Office軟件默認(rèn)不運行宏代碼，在遇到帶宏代碼的文檔時，需要用戶手動啟用。同時，Office 2010遇到帶不可信宏代碼文件會彈出提示信息，如下圖所示。因此只有用戶單擊“啟用宏”，惡意代碼才能得到執(zhí)行。

通過對Locky樣本的深入分析和對攻擊事件的還原，我們知道勒索者惡意軟件Locky的攻擊手法并不新奇，一般是通過郵件形式傳播，需要被攻擊用戶主動打開附件內(nèi)容并點擊允許宏代碼執(zhí)行�？梢妭鹘y(tǒng)的攻擊手段并沒有失效，office宏病毒的破壞力依然存在。

截至目前，樣本W(wǎng)ord文件宏代碼訪問的服務(wù)器、locky主體交互的C&C服務(wù)器均已關(guān)閉，一些域名已經(jīng)無效，故當(dāng)前截獲的Word樣本無法連接服務(wù)器下載locky惡意軟件，已存在的locky惡意軟件也因無法從C&C服務(wù)器獲取公鑰，從而無法加密本地文件。但此次事件的威脅依然存在，存在的大量樣本變種表明，勒索者事件是有組織的犯罪團(tuán)伙所為，惡意代碼作者只需修改代碼中連接服務(wù)器的域名信息或者IP地址，便可以大批量再生產(chǎn)有效攻擊樣本，罪犯們需要做的僅僅是購置非法域名和服務(wù)器。

值得注意的是，前幾年的勒索事件因國人少有使用比特幣的習(xí)慣，基本沒有用戶為此買單，勒索者矛頭并沒有指向中國內(nèi)地，中招者純屬“躺槍”。然而，此例樣本可以彈出中文勒索提示，表明勒索事件開始蔓延到國內(nèi)。

2016年勒索類惡意軟件將愈演愈烈，加密后的文件很難被找回已為業(yè)界公認(rèn)。對付勒索類惡意軟件依然是以預(yù)防為主：定期備份重要文件，當(dāng)心陌生郵件及附件，在打開帶宏代碼的Office文件時應(yīng)特別注意，確認(rèn)可信后再啟用宏運行。

新聞部分內(nèi)容來源：http://www.pconline.com.cn