40期報(bào)告匯總
安天發(fā)布《又見Locky家族勒索軟件》報(bào)告
近日,安天追影小組發(fā)現(xiàn)了一款傳播熱度上萬(wàn)的勒索軟件,經(jīng)分析后確認(rèn)其為L(zhǎng)ocky勒索軟件家族的新變種。此前,《安天周觀察》曾在第28期發(fā)布《首例具有繁體中文提示的勒索軟件LOCKY》分析報(bào)告,指出這是一類利用垃圾郵件進(jìn)行傳播的勒索軟件。本次追影小組發(fā)現(xiàn)的樣本可利用word文檔中的宏代碼下載勒索樣本母體感染電腦,隨后生成自身ID,向C2服務(wù)器請(qǐng)求密鑰,加密磁盤文件,用戶硬盤中的文檔、圖片、視頻、音樂(lè)等不同類型格式的文件都將被惡意控制。加密完成后,樣本會(huì)根據(jù)用戶電腦的語(yǔ)言環(huán)境來(lái)生成勒索提示語(yǔ)言。與其他Locky家族勒索軟件一樣,該樣本的提示語(yǔ)言也是繁體中文。
根據(jù)提示信息可知,受害用戶需要使用指定的“洋蔥瀏覽器”(Tor
Browser),來(lái)交付贖金,并且需要以比特幣為交易貨幣。而“洋蔥瀏覽器”可以將用戶的流量在世界各地的電腦終端跳躍式的傳遞,實(shí)現(xiàn)匿名訪問(wèn),同時(shí),比特幣的交易更是難以追蹤。
一個(gè)看似無(wú)害的Word文檔都可以具有如此大的殺傷力,是由于大部分用戶經(jīng)常使用Word,對(duì)這種文檔缺乏防備之心,而黑客正是利用了這一心理漏洞來(lái)進(jìn)行犯罪的。安天提醒廣大用戶,不要下載不明來(lái)源的附件,也不要隨意打開鏈接,很多惡意軟件都是通過(guò)網(wǎng)頁(yè)掛馬或釣魚電子郵件的附件形式傳播的。養(yǎng)成良好的上網(wǎng)習(xí)慣,既可以避免大部分惡意軟件的侵害,也可以縮小黑客的生存空間。安天追影小組將持續(xù)關(guān)注與分析勒索軟件的傳播態(tài)勢(shì),為用戶提出更多合理的建議。