網(wǎng)絡犯罪分子仍未放棄傳播Locky勒索軟件,除了廣為人知的傳播途徑,少數(shù)犯罪分子也在嘗試使用新的散布方式。最近,就有黑客通過修改的Word文檔傳播Locky勒索軟件的Payload,并且Payload只會在Word文檔關閉時被觸發(fā)。
Locky感染新方法網(wǎng)絡犯罪分子可利用微軟Word軟件套件執(zhí)行許多理論上不可行的惡意操作,例如迫使用戶啟用特定宏安裝惡意軟件,從而查看文檔內(nèi)容,并且以這種方式散布惡意Payload看似也可行。鑒于每個勒索軟件傳播者都在使用這種方法,用戶日益警覺這類威脅。
最新的Locky勒索軟件傳播方式仍依賴Word文檔,這種方式近期不會發(fā)生變化。犯罪分子發(fā)現(xiàn)新的感染方法:利用包含Locky惡意軟件的Word文檔,而關閉文檔才會下載Payload并執(zhí)行惡意軟件,這種傳送Payload的方式相當獨特。
仍依賴Word宏這種方法與先前的散布方式類似,仍依賴Word宏,用戶仍然需啟用宏,攻擊才會得手。然而,該方法不必顯示內(nèi)容本身,因為文檔本身會顯示信息。
這對受害者安裝的安全軟件也會有影響,因為當內(nèi)容顯示時,現(xiàn)有的大多數(shù)安全軟件會阻止Word文檔中的宏,啟用-關閉宏是新的解決方案。大多數(shù)沙盒環(huán)境會默認允許啟用Word宏功能。雖然這類新型文檔看似完全無害,但仍可能會秘密感染計算機。
Locky的另一種傳播方式這類新型Word感染方法并不是Locky勒索軟件的唯一傳播方式,另一名研究人員還發(fā)現(xiàn)攻擊者使用虛假的Dropbox電子郵件網(wǎng)絡釣魚方法。一旦點擊電子郵件中的鏈接,用戶會被重定向至偽造網(wǎng)站,在目標設備上安裝Locky Payload。專家推測,犯罪分子將會繼續(xù)傳播Locky。
目前打擊勒索軟件的行動似乎并未跟上步伐,在這場“貓捉老鼠”的游戲中,網(wǎng)絡犯罪分子仍領先安全研究人員。Locky躋身前幾大勒索軟件已久,不可能會在在一夜之間消失。新型Word宏騙術會讓電腦用戶面臨的風險會越來越大。