網絡安全公司vira研究人員近期發現勒索軟件 Locky出現新型變種，不僅可以通過僵尸網絡Necurs開展大規模釣魚攻擊活動，還可利用動態數據交換（DDE）協議進行數據傳輸，從而規避安全軟件檢測的同時竊取用戶重要信息。

研究顯示，目前黑客主要通過合法的 Libre 與 Office 文件肆意分發惡意軟件。一旦用戶打開該惡意文件后系統將會自動觸發一系列程序，從而最終在受害設備上對用戶文件進行加密處理后發送到指定 C&C 服務器。研究人員在分析該惡意文件時還發現其中包含一份 LNK 文檔，允許黑客通過粘貼的方式將命令復制到用戶文本編輯器中，以便運行 PowerShell 腳本。

研究人員表示，該腳本內容清晰、極易閱讀，其目的是從腳本嵌入的鏈接中下載另一個 PowerShell 腳本并通過 Invoke-Expression 函數運行。然而，第二個腳本所連接的服務器由黑客控制，并在下載該腳本時自動運行一份 Windows 可執行文件，其中包含多個階段的混淆代碼，以致誘導用戶認為這是一個安全的文件。目前，研究人員認為勒索軟件 Locky 的快速演變在當今的威脅領域中著實令人擔憂，因為它還將繼續進行深度 “優化”，從而感染更多設備