如果你收到的郵件假扮成某公司的發(fā)票單，包含 Word 附件，在打開它之前應(yīng)當三思而后行。

如果打開，可能會使你的系統(tǒng)癱瘓，導致災難性的破壞。目前認為，黑客有可能事先入侵網(wǎng)站，利用社會工程學，設(shè)置吸引眼球的騷擾郵件標題，吸引受害者在系統(tǒng)上安裝致命的軟件 Locky 。

如果你在自己的網(wǎng)盤文件中發(fā)現(xiàn)了 .locky 擴展名，恭喜！你被感染了，而且只剩下兩個選擇：從零開始重建 PC 系統(tǒng)，或者交出贖金。

Locky 勒索軟件正以每小時4000個新感染的速度傳播，這等于每天傳染十萬個新受害者。

微軟宏回來了

到了2016年，很難想象還會存在僅通過 MS Word 文件宏，輕松感染受害者系統(tǒng)的情況。

　　不管怎樣，黑客使用的黑客方法值得欽佩。

Locky 惡意軟件通過微軟365和 Outlook 電子郵件附件傳播。傳播的 Word 文檔中內(nèi)嵌了惡意的宏函數(shù)。

宏最開始出現(xiàn)于上個世紀九十年代。你肯定很熟悉這樣的信息：“警告：該文檔包含宏”。

現(xiàn)在，宏又回來了。網(wǎng)絡(luò)罪犯們找到了讓用戶打開微軟 Office 文檔的信訪室，特別是能夠讓宏自動運行的 Word 文件。

工作原理

在用戶打開惡意 Word 文檔后，doc 文件就被下載到了系統(tǒng)上。當用戶打開這一文件，會發(fā)現(xiàn)內(nèi)容混亂，彈出“打開宏”警告窗口。這時候，真正的危險就出現(xiàn)了。

　　一旦受害者啟用惡意宏，他就會從遠程服務(wù)器上下載一個可執(zhí)行文件并運行；

這一可執(zhí)行文件就是 Locky 勒索軟件，一旦它運行，就會開始加密計算機和網(wǎng)絡(luò)上的所有文件。

Locky 勒索軟件會影響幾乎所有文件類型，并將它們的擴展名替換成 .locky 。

加密完成后，勒索軟件將彈出一條信息，引導被感染的受害者下載 TOR 瀏覽器，訪問攻擊者的網(wǎng)站獲取后續(xù)指令，完成支付。

要想拿到解密密鑰， Locky 惡意軟件將要求受害者支付0.5至2比特幣（約208到800美元）。 Locky 有一個有趣的特點，它支持多語言，這有助于其將支付贖金者的邊界拓展至英語區(qū)以外，制造更多受害者。

Locky 甚至會加密你在互聯(lián)網(wǎng)上存儲的備份文件

這種新型的勒索軟件也可以加密你在互聯(lián)網(wǎng)上存儲的備份文件。所以，你應(yīng)當將敏感和重要的文件存儲在第三方作為備份，以避免可能出現(xiàn)的惡意軟件感染。

BleepingComputer 公司的研究人員凱文·博蒙特（Kevin Beaumont）和拉里·亞布拉罕（Larry Abrahms）首次發(fā)現(xiàn)了 Locky 勒索病毒的存在。

為了確定 Locky 產(chǎn)生的沖擊，昨天，凱文成功截獲了 Locky 的傳輸信息，發(fā)現(xiàn)這一勒索軟件正在公網(wǎng)快速傳播。

我估計，每天有超過10萬個新的端點受到 Locky 感染，這絕對屬于一次大規(guī)模網(wǎng)絡(luò)安全事件：只要三天，就會有大約25萬臺 PC 遭到感染。

一小時內(nèi)的感染數(shù)據(jù)統(tǒng)計

受到影響最大的國家有：德國、荷蘭、美國、克羅地亞、馬里、沙特、墨西哥、波蘭、阿根廷、塞爾維亞。