文档章节

TurboMail工程师重要提醒:慎重打开邮件中的Word附件

月亮湖泊
 月亮湖泊
发布于 2016/04/01 18:36
字数 1138
阅读 52
收藏 0

钉钉、微博极速扩容黑科技,点击观看阿里云弹性计算年度发布会!>>>

在全球疯狂传播的”Locky”病毒,目前也开始在中国国内大肆传播,TurboMail邮件系统工程师提醒广大邮箱管理员,有必要马上通知所有的邮箱用户小心处理含有Word附件的邮件,如发现有异常,不要点击查看Word附件。

下图为TurboMail邮件系统拦截的一个”Locky”病毒邮件的案例。

2月19日,德国媒体报道,一款家族名为”Locky”的勒索者恶意软件每小时感染德国5300台计算机,Locky由此进入人们视野。目前,Locky已经蔓延到包括德国、荷兰、美国在内的十几个国家,国内知名论坛上也陆续开始出现关于Locky的讨论,不少人在寻求文件被修改“.lock”的加密文件后的解决方案,可见部分国内网民已经中招,而某宝上也有公开出售Locky的解密密钥。几乎同时,金山安全接到多个企业报警显示Locky已在其内网蔓延,并影响到生产环节,事态进一步升级。

金山安全反病毒实验室采集到Locky样本,分析发现勒索提示可以显示中文,可见此次勒索事件与以往“国外中招,中国躺枪”不同,犯罪集团的矛头开始指向中国用户。

Locky攻击流程

如图所示,黑客向受害者邮箱发送带有恶意word文档的Email,word文档中包含有黑客精心构造的恶意宏代码,受害者打开word文档并运行宏代码后,主机会主动连接指定的web服务器,下载locky恶意软件到本地Temp目录下,并强制执行。locky恶意代码被加载执行后,主动连接黑客C&C服务器,执行上传本机信息,下载加密公钥。locky遍历本地所有磁盘和文件夹,找到特定后缀的文件,将其加密成“.locky”的文件。加密完成后生成勒索提示文件。

恶意代码执行的关键一步是宏代码的手动启用。多数Office软件默认不运行宏代码,在遇到带宏代码的文档时,需要用户手动启用。同时,Office 2010遇到带不可信宏代码文件会弹出提示信息,如下图所示。因此只有用户单击“启用宏”,恶意代码才能得到执行。

通过对Locky样本的深入分析和对攻击事件的还原,我们知道勒索者恶意软件Locky的攻击手法并不新奇,一般是通过邮件形式传播,需要被攻击用户主动打开附件内容并点击允许宏代码执行。可见传统的攻击手段并没有失效,office宏病毒的破坏力依然存在。

截至目前,样本Word文件宏代码访问的服务器、locky主体交互的C&C服务器均已关闭,一些域名已经无效,故当前截获的Word样本无法连接服务器下载locky恶意软件,已存在的locky恶意软件也因无法从C&C服务器获取公钥,从而无法加密本地文件。但此次事件的威胁依然存在,存在的大量样本变种表明,勒索者事件是有组织的犯罪团伙所为,恶意代码作者只需修改代码中连接服务器的域名信息或者IP地址,便可以大批量再生产有效攻击样本,罪犯们需要做的仅仅是购置非法域名和服务器。

值得注意的是,前几年的勒索事件因国人少有使用比特币的习惯,基本没有用户为此买单,勒索者矛头并没有指向中国内地,中招者纯属“躺枪”。然而,此例样本可以弹出中文勒索提示,表明勒索事件开始蔓延到国内。

2016年勒索类恶意软件将愈演愈烈,加密后的文件很难被找回已为业界公认。对付勒索类恶意软件依然是以预防为主:定期备份重要文件,当心陌生邮件及附件,在打开带宏代码的Office文件时应特别注意,确认可信后再启用宏运行。

新闻部分内容来源:http://www.pconline.com.cn


月亮湖泊
粉丝 11
博文 363
码字总数 417443
作品 0
广州
网页/平面设计
私信 提问
加载中
请先登录后再评论。
TurboMail 邮件系统新版飞邮强势登陆App Store

TurboMail邮件系统早年推出邮箱iPhone客户端飞邮后持续推出迭代版本,更新频繁。日前最新推出的iPhone客户端2.0版本 已成功上线App Store,不仅全面兼容iPhone5,完美适配iOS6,还推出了更多...

月亮湖泊
2013/02/21
29
0
强大的TurboMail邮件服务器,一分钟玩转飞邮手机邮箱APP

在无处没有网络,移动办公已经成为一种发展趋势的今天,邮件服务器系统已经不仅仅局限于在电脑上做简单的邮件收发,用户需要得到更为贴近日常生活的邮件系统服务。 作为国内邮件服务器软件行...

月亮湖泊
2014/08/21
14
0
TurboMail飞邮手机邮箱 企业移动办公新需求

电子邮件成为企业商务通信的主要途径,在日常办公中如果邮件接收不及时,重要邮件信息无法及时处理,那企业的损失可就大了,如果能够随时随地接收邮件,像手机短信一样,对邮箱用户而言是不是...

月亮湖泊
2013/03/15
25
0
TurboMail系统企业邮件增值功能盘点

个人免费邮箱、企业免费邮箱、租用企业邮箱或者商业自建邮件系统,无论是何种邮箱,对最终普通用户而言,邮件增值功能的丰富程度都是厂家吸引用户眼球的一个亮点,也决定了用户在使用邮箱时一...

月亮湖泊
2012/02/15
77
0
TurboMail邮件系统手机邮箱,掌上收发安全更便捷

随着移动互联网的发展,随时随地收发邮件正成为个人邮箱用户以及企业邮箱用户最基本的诉求,由于大多数邮箱用户还是传 统意义上的电脑网络邮件收发,但出差在外,或是上下班路上需要查看接收...

月亮湖泊
2012/07/30
64
0

没有更多内容

加载失败,请刷新页面

加载更多

Whoosh:Python 的轻量级搜索工具

👆 “Python猫” ,一个值得加星标的公众号 花下猫语:周末愉快啊!今天还是给大家分享一篇文章。既然你已点进来看了,那说明你对此话题应该是感兴趣的,希望你读后有所收获吧。Best wish...

Python猫
2019/11/23
13
0
Spring升级案例之IOC介绍和依赖注入

Spring升级案例之IOC介绍和依赖注入 一、IOC的概念和作用 1.什么是IOC 控制反转(Inversion of Control, IoC)是一种设计思想,在Java中就是将设计好的对象交给容器控制,而不是传统的在对象内...

osc_xmvqghwh
18分钟前
0
0
KVM影子页表

2019年是崭新的一年,Linux kernel 5.0 低调发布了,给我的感觉就是,牛人不断在飞跃,我们也要策马奔腾赶紧追赶才有些许出路。 内核子系统众多,我发现KVM是个非常有意思的子系统,对cpu,内...

jeffxiemo
2019/01/08
0
0
重磅!入门者福音:从0学Java系列文章即将推出!

好消息!小编为了回馈母校(川农),决定和学校物联网系携手打造《从0开始学Java》系列文章,目前该系列文章由小编本人和一位研究生师姐撰写,接下来该系列文章将在本公众号陆续推出,欢迎关...

beifengtz
2019/07/28
17
0
围绕Java反射,BAT的面试官可以问出多少花样

好久不见,在疫情的控制下,我急需一杯奶茶续续命! 作者:王炸 |【坚持1000篇原创】 2020.2.21 王炸的第60篇原创 ☝️先赞后看是技术人的传统美德☝️ 有小朋友问我,我刚刚学Java,没接触过...

励志程序员
02/21
0
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部