TurboMail工程师重要提醒:慎重打开邮件中的Word附件
在全球疯狂传播的”Locky”病毒,目前也开始在中国国内大肆传播,TurboMail邮件系统工程师提醒广大邮箱管理员,有必要马上通知所有的邮箱用户小心处理含有Word附件的邮件,如发现有异常,不要点击查看Word附件。 下图为TurboMail邮件系统拦截的一个”Locky”病毒邮件的案例。 2 月19日,德国媒体报道,一款家族名为”Locky”的勒索者恶意软件每小时感染德国5300台计算机,Locky由此进入人们视野。目前,Locky已经蔓延到包括德国、荷兰、美国在内的十几个国家,国内知名论坛上也陆续开始出现关于Locky的讨论,不少人在寻求文件被修改“.lock”的加密文件后的解决方案,可见部分国内网民已经中招,而某宝上也有公开出售Locky的解密密钥。几乎同时,金山安全接到多个企业报警显示Locky已在其内网蔓延,并影响到生产环节,事态进一步升级。 金山安全反病毒实验室采集到Locky样本,分析发现勒索提示可以显示中文,可见此次勒索事件与以往“国外中招,中国躺枪”不同,犯罪集团的矛头开始指向中国用户。 Locky攻击流程 如图所示,黑客向受害者邮箱发送带有恶意word文档的Email,word文档中包含有黑客精心构造的恶意宏代码,受害者打开word文档并运行宏代码后,主机会主动连接指定的web服务器,下载locky恶意软件到本地Temp目录下,并强制执行