网络犯罪分子仍未放弃传播Locky勒索软件,除了广为人知的传播途径,少数犯罪分子也在尝试使用新的散布方式。最近,就有黑客通过修改的Word文档传播Locky勒索软件的Payload,并且Payload只会在Word文档关闭时被触发。
Locky感染新方法网络犯罪分子可利用微软Word软件套件执行许多理论上不可行的恶意操作,例如迫使用户启用特定宏安装恶意软件,从而查看文档内容,并且以这种方式散布恶意Payload看似也可行。鉴于每个勒索软件传播者都在使用这种方法,用户日益警觉这类威胁。
最新的Locky勒索软件传播方式仍依赖Word文档,这种方式近期不会发生变化。犯罪分子发现新的感染方法:利用包含Locky恶意软件的Word文档,而关闭文档才会下载Payload并执行恶意软件,这种传送Payload的方式相当独特。
仍依赖Word宏这种方法与先前的散布方式类似,仍依赖Word宏,用户仍然需启用宏,攻击才会得手。然而,该方法不必显示内容本身,因为文档本身会显示信息。
这对受害者安装的安全软件也会有影响,因为当内容显示时,现有的大多数安全软件会阻止Word文档中的宏,启用-关闭宏是新的解决方案。大多数沙盒环境会默认允许启用Word宏功能。虽然这类新型文档看似完全无害,但仍可能会秘密感染计算机。
Locky的另一种传播方式这类新型Word感染方法并不是Locky勒索软件的唯一传播方式,另一名研究人员还发现攻击者使用虚假的Dropbox电子邮件网络钓鱼方法。一旦点击电子邮件中的链接,用户会被重定向至伪造网站,在目标设备上安装Locky Payload。专家推测,犯罪分子将会继续传播Locky。
目前打击勒索软件的行动似乎并未跟上步伐,在这场“猫捉老鼠”的游戏中,网络犯罪分子仍领先安全研究人员。Locky跻身前几大勒索软件已久,不可能会在在一夜之间消失。新型Word宏骗术会让电脑用户面临的风险会越来越大。
本文转自d1net(转载)
