近日,据腾讯安全联合实验室反病毒实验室监测发现,一种利用Office新型漏洞传播Locky勒索病毒的钓鱼邮件正在大规模爆发,一旦用户点下载了钓鱼邮件中的Office附件,并遵照该Office文件打开时的提醒操作电脑,个人电脑上的文档资料将被加密勒索。
目前,腾讯电脑管家已经全面拦截查杀该类恶意Office文件,及Locky勒索病毒,广大用户无需惊慌。同时还可以下载安装腾讯电脑管家“文档守护者2.0”,全方位保护个人文档安全。
层层陷阱:钓鱼邮件+文档漏洞诱使中招
这次的病毒在攻击方式上较为繁琐,不法分子为了达到目的运用了多种攻击手段组合迷惑用户。据腾讯安全联合实验室反病毒实验室分析发现,病毒最初来源于不法分子精心伪造的钓鱼邮件,邮件主题也多为与发票、文档有关,而邮件的正文部分常为空白,诱使用户点击。
如果收件人粗心大意,下载点击附件中的Office文档,Office就会先弹出第一个对话框提示“该文档包含的域可能包含引用了其他文件,是否更新文档中的这些域”。
随后,用户会再次接收到一个如下的对话框提示:
一旦用户不假思索或由于失误操作连续两次点击“是”,隐藏在文档中的恶意DDE代码就会调用powershell脚本下载恶意程序,loader程序会与C&C通信下载勒索软件并加载执行,最终加密用户电脑数据以达到破坏数据勒索钱财的目的。
这里对于DDE文档的利用不仅是不法分子设置的第二道迷障,也是此次攻击的核心所在。Windows为应用之间进行数据传输提供了多种传输方式,其中一种叫做动态交换协议,简称DDE协议,应用程序可以使用DDE协议进行数据传输和持续交换。恶意软件的这种利用方式不会触发Office的宏安全警告,也可绕过传统杀毒软件的宏病毒防御。
宏病毒升级版:DDE文档成病毒传播新宠
DDE文档是最近曝光的一种新的攻击手法,攻击者不需要目标开启宏即可执行任意命令,如果安全意识不够强的话很容易中招。在DDE执行代码的技术细节被公开后的前几天中,鲜有恶意文档利用这种技术,但随着时间的推移,这种利用方式出现得越来越多。
过去几年,基于宏的文档攻击技术一直是主流,虽然需要用户主动进行确认,但是攻击的成功率依然非常的高。不过,近段时间来,使用Office DDE技术来传播恶意文件的方法已经越来越流行。该技术也很快被FIN7组织、Necurs僵尸网络所采用,用来进行APT攻击,以及用来传播勒索病毒。
腾讯电脑管家安全专家、腾讯安全联合实验室反病毒实验室负责人马劲松表示,Office DDE技术已经开始替代了传统的宏技术,成为当前使用Office为载体传播病毒的新宠。
安全建议:切断攻击源,提前备份文档成关键
这次的勒索病毒由于使用了较为新颖的攻击方法,后续有进一步爆发的可能。腾讯电脑管家在梳理此次攻击之后结合其特点给出了一下具体防护建议。
第一,攻击者在攻击过程中使用了钓鱼邮件做为攻击的最初载体。因此做好安全教育,不随意打开陌生人发送的文件可以最快的阻断攻击。
第二,建议用户尽快排查自身网络内是否有C&C地址的访问,一旦发现有终端主机对下述的C&C地址发起请求连接,则极有可能已经沦陷。
同时建议用户安装腾讯电脑管家等终端安全产品,保持终端安全产品的及时更新从而达到有效防护。目前,腾讯电脑管家和哈勃分析系统已经能够识别和查杀此类文档文件和loader程序。
第三,用户一旦感染勒索病毒将很难找回文件,建议用户做事前防御工作。目前腾讯电脑电脑管家升级上线了旗下的文档保护体系——文档守护者2.0,基于管家的安全防御体系,通过对系统引导、边界防御、本地防御、执行保护、改写保护,备份等多个环节的保护构建完整的防御方案,保护用户的文档不被加密勒索。通过全网拦截引擎,可实现对包括Locky在内的430种勒索病毒样本的免疫;同时还能提供对未知的勒索病毒的拦截能力,并自动备份全盘文档,进一步保证用户文档安全。