宿松百姓爱心协会

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 454|回复: 0

比特币勒索软件“LOCKY”登陆中国

[复制链接]
发表于 2016-3-26 07:32 | 显示全部楼层 |阅读模式

      3月24日上午,铜陵市公安局网安支队接到该市某企业员工报案,称:其电脑内的文档等文件被加密成后缀名为“lock”的文件,内容无法看到。电脑界面上提示按照其指定的方式付款后才能给予解开。
      据公安局网安支队副支队长戴华介绍,此电脑中文档是被一种名为“Locky勒索者”的恶意软件加密后造成的。经分析发现,这是一类利用垃圾邮件进行传播的勒索软件,是首例具有中文提示的比特币勒索软件,这说明犯罪集团的矛头已开始指向中国用户。
      黑客向受害者邮箱发送带有恶意word文档的Email,word文档中包含有黑客精心构造的恶意宏代码,受害者打开word文档并运行宏代码后,主机会主动连接指定的web服务器, 下载locky恶意软件到本地Temp目录下,并强制执行。locky恶意代码被加载执行后,主动连接黑客C&C服务器,执行上传本机信息,下载 加密公钥。
      恶意代码执行的关键一步是宏代码的手动启用。doc文件使用Word 2003打开即可运行宏代码。而Office 2007及以上版本的Office软件时,宏代码是否能运行对后缀名有严格的要求,保证Office 2007以上版本也能执行恶意代码,这需要用户手动启用。 因此只有用户单击“启用宏”,恶意代码才能得到执行。
      勒索软件“Locky”能给攻击者带来巨大的收益,因其使用比特币进行交易,所以很难追踪;一旦用户感染了勒索软件,只能付费进行解密或是丢弃这些文件。即使支付赎金也不一定能保证可以完全恢复被加密的文件。
      据戴华副支队长介绍,这也是今年首次碰到此类勒索恶意软件,说明此类攻击已登陆铜陵市企业,主要通过邮件中的恶意文档来进入受害者电脑。目前,加密后的文件很难被找回已为业界公认。对付勒索类恶意软件依然是以预防为主:定期备份重要文件,当心陌生邮件及附件,在打开带宏代码的Office文件时应特别注意,确认可信后再启用宏运行。



您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|发帖自律承诺|文明上网自律公约|门面版|手机版|小黑屋|宿松百姓爱心协会 ( 皖ICP备15019045号-1 )

GMT+8, 2024-11-25 12:54 , Processed in 0.020295 second(s), 22 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表