文档章节

TurboMail工程师重要提醒:慎重打开邮件中的Word附件

月亮湖泊
 月亮湖泊
发布于 2016/04/01 18:36
字数 1138
阅读 48
收藏 0
点赞 1
评论 0

在全球疯狂传播的”Locky”病毒,目前也开始在中国国内大肆传播,TurboMail邮件系统工程师提醒广大邮箱管理员,有必要马上通知所有的邮箱用户小心处理含有Word附件的邮件,如发现有异常,不要点击查看Word附件。

下图为TurboMail邮件系统拦截的一个”Locky”病毒邮件的案例。

2月19日,德国媒体报道,一款家族名为”Locky”的勒索者恶意软件每小时感染德国5300台计算机,Locky由此进入人们视野。目前,Locky已经蔓延到包括德国、荷兰、美国在内的十几个国家,国内知名论坛上也陆续开始出现关于Locky的讨论,不少人在寻求文件被修改“.lock”的加密文件后的解决方案,可见部分国内网民已经中招,而某宝上也有公开出售Locky的解密密钥。几乎同时,金山安全接到多个企业报警显示Locky已在其内网蔓延,并影响到生产环节,事态进一步升级。

金山安全反病毒实验室采集到Locky样本,分析发现勒索提示可以显示中文,可见此次勒索事件与以往“国外中招,中国躺枪”不同,犯罪集团的矛头开始指向中国用户。

Locky攻击流程

如图所示,黑客向受害者邮箱发送带有恶意word文档的Email,word文档中包含有黑客精心构造的恶意宏代码,受害者打开word文档并运行宏代码后,主机会主动连接指定的web服务器,下载locky恶意软件到本地Temp目录下,并强制执行。locky恶意代码被加载执行后,主动连接黑客C&C服务器,执行上传本机信息,下载加密公钥。locky遍历本地所有磁盘和文件夹,找到特定后缀的文件,将其加密成“.locky”的文件。加密完成后生成勒索提示文件。

恶意代码执行的关键一步是宏代码的手动启用。多数Office软件默认不运行宏代码,在遇到带宏代码的文档时,需要用户手动启用。同时,Office 2010遇到带不可信宏代码文件会弹出提示信息,如下图所示。因此只有用户单击“启用宏”,恶意代码才能得到执行。

通过对Locky样本的深入分析和对攻击事件的还原,我们知道勒索者恶意软件Locky的攻击手法并不新奇,一般是通过邮件形式传播,需要被攻击用户主动打开附件内容并点击允许宏代码执行。可见传统的攻击手段并没有失效,office宏病毒的破坏力依然存在。

截至目前,样本Word文件宏代码访问的服务器、locky主体交互的C&C服务器均已关闭,一些域名已经无效,故当前截获的Word样本无法连接服务器下载locky恶意软件,已存在的locky恶意软件也因无法从C&C服务器获取公钥,从而无法加密本地文件。但此次事件的威胁依然存在,存在的大量样本变种表明,勒索者事件是有组织的犯罪团伙所为,恶意代码作者只需修改代码中连接服务器的域名信息或者IP地址,便可以大批量再生产有效攻击样本,罪犯们需要做的仅仅是购置非法域名和服务器。

值得注意的是,前几年的勒索事件因国人少有使用比特币的习惯,基本没有用户为此买单,勒索者矛头并没有指向中国内地,中招者纯属“躺枪”。然而,此例样本可以弹出中文勒索提示,表明勒索事件开始蔓延到国内。

2016年勒索类恶意软件将愈演愈烈,加密后的文件很难被找回已为业界公认。对付勒索类恶意软件依然是以预防为主:定期备份重要文件,当心陌生邮件及附件,在打开带宏代码的Office文件时应特别注意,确认可信后再启用宏运行。

新闻部分内容来源:http://www.pconline.com.cn


© 著作权归作者所有

共有 人打赏支持
月亮湖泊
粉丝 11
博文 363
码字总数 417443
作品 0
广州
网页/平面设计
TurboMail邮件系统提醒广大用户小心DXXD勒索邮件

最近,TurboMail邮件系统的技术工程师侦测到新型变种的DXXD勒索软件已经通过电子邮件开始攻击中国国内的用户,从Locky勒索邮件到DXXD勒索邮件2.0版本,由于利润丰厚,贪婪的勒索邮件开发者在...

月亮湖泊 ⋅ 2016/11/25 ⋅ 0

TurboMail反垃圾邮件系统提醒您辨别钓鱼邮件

最近,钓鱼邮件猖獗,如果遇到这样的邮件请额外小心! TurboMail邮件系统技术工程师提醒您,遇到这种“紧急邮件”您反而要冷静对待,要核实真实性后才决定是否操作。 一,核实发件人:看看发...

月亮湖泊 ⋅ 2015/11/16 ⋅ 0

Turbomail企业智能邮箱应用功能盘点

邮件具有快捷、易用、方便、廉价等特点,是企事业单位内外通讯的首要选择,越来越多企业开始重视建立自己的邮件通讯系统。市面上邮件系统产品五花八门,厂家宣传各种各样的功能和产品亮点,但...

月亮湖泊 ⋅ 2012/01/18 ⋅ 0

TurboMail邮件系统手机邮箱,掌上收发安全更便捷

随着移动互联网的发展,随时随地收发邮件正成为个人邮箱用户以及企业邮箱用户最基本的诉求,由于大多数邮箱用户还是传 统意义上的电脑网络邮件收发,但出差在外,或是上下班路上需要查看接收...

月亮湖泊 ⋅ 2012/07/30 ⋅ 0

邮箱实用技巧三:如何分类管理自己的邮件

随着日积月累,用户邮箱会收到越来越多的邮件,其中包括重要的公事或私事邮件、垃圾邮件、广告邮件、无关紧要的邮件或者自己订阅的邮件。当太多的邮件积累在一起,不仅加大处理邮件的难度,而...

月亮湖泊 ⋅ 2010/04/30 ⋅ 0

TurboMail手机客户端—强大的附件文档阅读能力

对于频繁使用邮件的用户而言,收发附件已是家常便饭,但对于手机查看附件,用户却遇到了很多问题。稍微低端的手机,除了txt格式的文本,基本上其他格式的文档,都不能打开;即使是txt格式,哪...

月亮湖泊 ⋅ 2010/05/28 ⋅ 0

TurboMail邮件系统工程师重要提醒:谨防邮件钓鲸诈骗

FAAC公司是空客公司多型飞机复合材料制件的一级供应商、是波音多型飞机复合材料制件的二级供应商,公司为波音、空客、庞巴迪、阿莱尼亚、欧直、沃特、萨博、中国商飞等许多航空工业重要客户生...

月亮湖泊 ⋅ 2016/07/08 ⋅ 0

病毒邮件对企业的危害

接近年尾,在跨入虎年之际,网络病毒邮件又开始大肆泛滥。国家计算机病毒应急处理中心10日提醒,近期很多计算机用户收到一些带有附件的病毒邮件,这些邮件附件的内容大多是大家比较关心的热点...

月亮湖泊 ⋅ 2009/11/20 ⋅ 0

邮箱实用技巧二:怎样发附件最方便

企业在办公过程中,经常都会遇到一个情况:在编辑邮件时,需要发送不同的多个附件。虽然可以进行打包上传,但因为不同的收件人,需要发送不同的多个附件,每次都进行打包,实在是一件非常繁琐...

月亮湖泊 ⋅ 2010/04/23 ⋅ 0

TurboMail邮件系统企业邮件安全使用管理方案

作为商业化邮件服务器的翘楚产品,TurboMail邮件系统致力于为企事业客户提供灵活多变的个性化企业邮箱管理方案,力求能满足不同的客户对企业邮件的各种个性化管理诉求,从而让企业邮件能满足...

月亮湖泊 ⋅ 2015/10/30 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

Spring Bean基础

1、Bean之间引用 <!--如果Bean配置在同一个XML文件中,使用local引用--><ref bean="someBean"/><!--如果Bean配置在不同的XML文件中,使用ref引用--><ref local="someBean"/> 其实两种......

霍淇滨 ⋅ 2分钟前 ⋅ 0

05、基于Consul+Upsync+Nginx实现动态负载均衡

1、Consul环境搭建 下载consul_0.7.5_linux_amd64.zip到/usr/local/src目录 cd /usr/local/srcwget https://releases.hashicorp.com/consul/0.7.5/consul_0.7.5_linux_amd64.zip 解压consu......

北岩 ⋅ 4分钟前 ⋅ 0

Webpack 4 api 了解与使用

webpack 最近升级到了 v4.5+版 01 官方不再支持 node4 以下版本 官方不再支持 node4 以下版本官方不再支持 node4 以下的版本,所以如果你的node版本太低,先开始升级node吧!话说node10 ...

NDweb ⋅ 14分钟前 ⋅ 0

使用nodeJs安装Vue-cli

Vue脚手架就是一个Vue框架开发环境 脚手架的意思是帮你快速开始一个vue的项目,也就是给你一套vue的结构,包含基础的依赖库,只需要 npm install就可以安装,让我们不需要为了编辑或者一些其...

木筏笔歆 ⋅ 47分钟前 ⋅ 0

【微信小程序开发实战】0x00.开发前准备工作

写在开始 本人资深后端码农一枚,近期项目需求,接触到了微信小程序,将学习过程整理成文分享给小伙伴们,由于是边学边整理难免有表述不对的地方,望大家及时指正,感谢。 本人微信号: dream...

dreamans ⋅ 今天 ⋅ 0

linux redis的安装和php7下安装redis扩展

安装redis服务器 (1)下载安装包: $ wget http://download.redis.io/releases/redis-2.8.17.tar.gz (2)编译程序: $ tar xzf redis-2.8.17.tar.gz $ cd redis-2.8.17 $ make $ cd src &&......

concat ⋅ 今天 ⋅ 0

Guava EventBus源码解析

一、EventBus使用场景示例 Guava EventBus是事件发布/订阅框架,采用观察者模式,通过解耦发布者和订阅者简化事件(消息)的传递。这有点像简化版的MQ,除去了Broker,由EventBus托管了订阅&...

SaintTinyBoy ⋅ 今天 ⋅ 0

http怎么做自动跳转https

Apache 版本 如果需要整站跳转,则在网站的配置文件的<Directory>标签内,键入以下内容: RewriteEngine on RewriteCond %{SERVER_PORT} !^443$ RewriteRule ^(.*)?$ https://%{SERVER_NAME......

Helios51 ⋅ 今天 ⋅ 0

Python爬虫,抓取淘宝商品评论内容

作为一个资深吃货,网购各种零食是很频繁的,但是能否在浩瀚的商品库中找到合适的东西,就只能参考评论了!今天给大家分享用python做个抓取淘宝商品评论的小爬虫! 思路 我们就拿“德州扒鸡”...

python玩家 ⋅ 今天 ⋅ 0

MySQL 内核深度优化

MYSQL数据库适用场景广泛,相较于Oracle、DB2性价比更高,Web网站、日志系统、数据仓库等场景都有MYSQL用武之地,但是也存在对于事务性支持不太好(MySQL 5.5版本开始默认引擎才是InnoDB事务...

java高级架构牛人 ⋅ 今天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部