如果你近日接到一封看似發票的信件主旨:ATTN: Invoice J-98223146 ,請當心不要任意開啟其所附的 Word 檔,這是新型的勒索軟體 Ransomware (勒索病毒/綁架病毒),它利用使用者對 Microsoft Word 檔比較沒有戒心的心態,企圖透過惡意巨集加以運行。
這是一個使用較少見方法進行散播的新勒索軟體 Ransomware (勒索病毒/綁架病毒):「Locky」,透過Word文件內的惡意巨集來滲透入系統。雖然勒索軟體較少出現利用巨集攻擊,但類似的散播方式可以找到知名的惡意銀行軟體DRIDEX,它也使用類似的攻擊方式。
Locky透過電子郵件進入受害者電腦,偽裝成發票並附上帶有惡意巨集的Word文件。根據研究人員表示,其相關內容如下:
郵件主旨:
ATTN: Invoice J-98223146
內文:
「Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice.
(詳見隨附發票(Microsoft Word文件),並且根據發票底部所列出品項匯出付款。)」
開啟巨集才能檢視文件檔 ? 啟用巨集勒索軟體即開始暗中加密
一旦受害者不疑有他的開啟 Word檔檢視時會出現亂碼, 同時會看到以下要求啟用巨集才能正確檢視的訊息:「Enable macro if the data encoding is incorrect(如果資料編碼不正確就啟用巨集)。」事實上,巨集一旦被啟用,則開始暗中下載勒索軟體感染加密受害用戶的檔案
Locky的惡意執行檔下載自網路伺服器。一旦安裝,便會開始尋找可用的硬碟(包括網路硬碟)並加密檔案,如文件、圖片、音樂、影片、壓縮檔、資料庫和其他網頁應用程式相關檔案。加密的檔案將被重新命名,並加上「.locky」副檔名。就跟其他勒索軟體一樣,每個被加密資料夾中會附上各種語言的勒索訊息會。該訊息引導受害者到Tor網路來用比特幣(Bitcoin)(0.5 BTC)付錢。
[延伸閱讀:勒索軟體如何運作以及該如何保護自己]
Palo Alto Networks的研究人員已經紀錄了446,000條跟此新勒索軟體 Ransomware相關的連線,其中一半以上(54%)影響美國的受害者。趨勢科技將此勒索軟體偵測為RANSOM_LOCKY.A。除了美國以外,也出現在全球各地,包括日本、德國、法國、義大利、英國、墨西哥、西班牙、以色列和印度。
趨勢科技研究人員進一步的分析還顯示,除了一樣都用巨集下載程式外,DRIDEX和Locky的巨集下載程式編寫也有相似之處。兩者進入系統時也都使用相同的檔案名稱(ladybi.exe)。
此外,我們的研究人員還發現Locky和其他加密勒索軟體 Ransomware間的關聯性。Locky,CRYPTESLA和CRILOCK都使用相同的封裝程式(Packer)進行壓縮封裝。這可能表示此工具被相同的散播者所使用,或是不同的勒索軟體作者都可以輕易地取得此封裝程式。
使用勒索軟體 Ransomware仍然是向目標受害者勒索巨額利潤的有效攻擊方式,並且會造成巨大的影響。最明顯的例子是一起高度公開,造成好萊塢長老教會醫療中心系統和網路癱瘓超過一個多星期的勒索軟體攻擊。醫院管理階層之後承認支付了40比特幣(或17,000美元)贖金以恢復受影響系統。之前有報導指出贖金是360萬美元,長老教會醫療中心之後在官方備忘錄中加以更正。
[閱讀更多:勒索軟體新聞]
@原文出處:New Crypto-Ransomware Locky Uses Malicious Word Macros
PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。