您的瀏覽器似乎不支援JavaScript語法,請利用鍵盤按住Ctrl鍵 +w列印


  交通管制公告-彰化市公所106年春節停車格暫停收費公告



Insert title here
打開 Word 檔也會中勒索軟體!!新加密勒索軟體Locky,偽裝發票,誘騙下載
日期:105-10-03
類別:交通管制公告
單位:第五組

打開 Word 檔也會中勒索軟體!!新加密勒索軟體Locky,偽裝發票,誘騙下載

如果你近日接到一封看似發票的信件主旨:ATTN: Invoice J-98223146 ,請當心不要任意開啟其所附的 Word 檔,這是新型的勒索軟體 Ransomware (勒索病毒/綁架病毒),它利用使用者對 Microsoft Word 檔比較沒有戒心的心態,企圖透過惡意巨集加以運行。

這是一個使用較少見方法進行散播的新勒索軟體 Ransomware (勒索病毒/綁架病毒):「Locky」,透過Word文件內的惡意巨集來滲透入系統。雖然勒索軟體較少出現利用巨集攻擊,但類似的散播方式可以找到知名的惡意銀行軟體DRIDEX,它也使用類似的攻擊方式。

Locky透過電子郵件進入受害者電腦,偽裝成發票並附上帶有惡意巨集的Word文件。根據研究人員表示,其相關內容如下:


 

郵件主旨:

ATTN: Invoice J-98223146

內文:

Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice.

(詳見隨附發票(Microsoft Word文件),並且根據發票底部所列出品項匯出付款。)


開啟巨集才能檢視文件檔 ? 啟用巨集勒索軟體即開始暗中加密

一旦受害者不疑有他的開啟 Word檔檢視時會出現亂碼, 同時會看到以下要求啟用巨集才能正確檢視的訊息:「Enable macro if the data encoding is incorrect(如果資料編碼不正確就啟用巨集)。」事實上,巨集一旦被啟用,則開始暗中下載勒索軟體感染加密受害用戶的檔案

Locky的惡意執行檔下載自網路伺服器。一旦安裝,便會開始尋找可用的硬碟(包括網路硬碟)並加密檔案,如文件、圖片、音樂、影片、壓縮檔、資料庫和其他網頁應用程式相關檔案。加密的檔案將被重新命名,並加上「.locky」副檔名。就跟其他勒索軟體一樣,每個被加密資料夾中會附上各種語言的勒索訊息會。該訊息引導受害者到Tor網路來用比特幣(Bitcoin)(0.5 BTC)付錢。

 

Palo Alto Networks的研究人員已經紀錄了446,000條跟此新勒索軟體 Ransomware相關的連線,其中一半以上(54%)影響美國的受害者。趨勢科技將此勒索軟體偵測為RANSOM_LOCKY.A。除了美國以外,也出現在全球各地,包括日本、德國、法國、義大利、英國、墨西哥、西班牙、以色列和印度。

趨勢科技研究人員進一步的分析還顯示,除了一樣都用巨集下載程式外,DRIDEX和Locky的巨集下載程式編寫也有相似之處。兩者進入系統時也都使用相同的檔案名稱(ladybi.exe)。

此外,我們的研究人員還發現Locky和其他加密勒索軟體 Ransomware間的關聯性。Locky,CRYPTESLA和CRILOCK都使用相同的封裝程式(Packer)進行壓縮封裝。這可能表示此工具被相同的散播者所使用,或是不同的勒索軟體作者都可以輕易地取得此封裝程式。

使用勒索軟體 Ransomware仍然是向目標受害者勒索巨額利潤的有效攻擊方式,並且會造成巨大的影響。最明顯的例子是一起高度公開,造成好萊塢長老教會醫療中心系統和網路癱瘓超過一個多星期的勒索軟體攻擊。醫院管理階層之後承認支付了40比特幣(或17,000美元)贖金以恢復受影響系統。之前有報導指出贖金是360萬美元,長老教會醫療中心之後在官方備忘錄中加以更正。

 

[閱讀更多:勒索軟體新聞]

@原文出處:New Crypto-Ransomware Locky Uses Malicious Word Macros


副標題:資安宣導
相關連結
相關附件
相關圖片
瀏覽人次 : 648 人     最後更新日期:105-10-03