当前位置:首页-正文

研究人员发现已有勒索软件瞄准Microsoft Office文档

微软公司上周发布官方安全预警提醒用户称近年来黑客针对 Microsoft Office 系列软件的攻击已经持续增温

而安全公司趋势科技在微软发布预警没多久就公布新的勒索软件,该软件仅针对 Microsoft Office 系列文档。

该勒索软件同样利用 Microsoft Office 的宏功能嵌套恶意代码,成功感染后即可对用户开启的文档进行加密。

首个专门针对文档文件的勒索软件:

趋势科技研究人员是在本月越南用户上传到在线扫描网站VirusTotal的可疑文档里发现名为qkG 的勒索软件。

相对其他勒索软件而言qkG 则有些特别:完全以VBA宏功能而制作的勒索软件、只针对Office系列文档文件。

当用户开启含有恶意代码的钓鱼文档后只有在关闭文档后才可以继续感染,感染的方式则是锁定文档的内容。

该勒索软件既不会修改被锁定文档的格式也不会修改其文件名,只有用户打开时才会发现里面内容全部乱码。

研究人员发现已有勒索软件瞄准Microsoft Office文档

攻击者似乎正在改善软件的质量:

目前来看该勒索软件更像是个概念验证处于测试阶段,因为现在的版本即使成功加密文档但连BTC地址都没。

因此即使用户想要支付赎金进行解锁也是没办法的,有意思的是qkG使用的加密方式为常见的XOR加密技术。

所以这些被感染的文件加密密钥都是完全相同的,而且研究人员经过分析还在被加密的文档里找到加密密钥。

但是大约在两天后研究人员发现的新版里已经加入了BTC钱包地址, 说明攻击者正在积极的对软件质量改善。

应对措施:不开启陌生文档和禁用宏

既然是针对宏功能的钓鱼文档那么应对措施自然是禁用宏,前提是你不使用宏功能才可以完全禁用掉宏模块。

如果你需要使用宏模块那么只能提高安全意识不要相信来自邮件中的文档,目前来看钓鱼邮件传播数量最多。

需要警惕的是目前国内传播途径还有QQ,蓝点网在此前已遇到 QQ 好友被盗号后群发含有恶意代码的文档。

如何禁用 Microsoft Office 宏功能请看蓝点网此前发布的教程:如何彻底禁用掉Office办公软件中的宏功能

本文来源蓝点网 原创,由山外的鸭子哥转载或编译发布,如需转载请联系原作者。