[讨论] 极具欺骗性的勒索病毒出现！打开Office文档立刻中招 [复制链接]

[推倒师傅ღ卖了徒弟]
游侠元勋版主
『PC游戏综合区』
2017年十佳版主
游侠动漫组【活跃】
SIMS梦工厂【厂长】
P.Sims-KING·出神入化
炽天使·米迦勒

2017十佳版主勋章游侠元勋版主元老版主勋章女性版主勋章资深版主勋章大头像勋章白金会员勋章活跃勋章荣誉勋章特色头衔勋章人气勋章·初级勤劳之证资深水手勋章游侠之星动漫组资深组员勋章 2014年杰出版主勋章 2015年杰出版主勋章 SIMS梦工厂元老勋章

帖子: 373891
精华: 2
积分: 191161
金钱: 699391
荣誉: 257
人气: 12456
评议: 80

电梯直达

楼主

发表于 2017-10-21 14:36:17 |只看该作者 |倒序浏览

原帖地址

http://www.ali213.net/news/html/2017-10/326309.html

游侠导读

WannaCry、Petya、Cerber、Locky、Spora……勒索病毒如今已经泛滥成灾，下半年几乎每天都有新的变种出现，攻击手法也无所不用其极

正文介绍

WannaCry、Petya、Cerber、Locky、Spora……勒索病毒如今已经泛滥成灾，下半年几乎每天都有新的变种出现，攻击手法也无所不用其极
中了这种病毒后，用户的电脑文件就会被高强度加密，能恢复的极为罕见，损失惨重

本周末，金山毒霸安全实验室再次截获最新的勒索病毒，这次是利用Office DDE(微软动态数据交换)里边的一个漏洞，极具伪装性、欺骗性
用户一旦点错对话框，会立刻导致电脑文件被加密

病毒会隐藏在不法分子精心伪造的电子邮件中
如果收件人粗心大意，下载了并点击附件中的Office文档，Office就会提示：“该文档引用了其他文件，是否更新文档中的这些域”

如果用户不加思索地去点击“是”，隐藏在文档中的恶意DDE代码就会从远程服务器下载勒索病毒程序，并执行文件加密动作

分析文档中的域代码可以发现，它包含有使用Powershell脚本下载恶意程序的内容

Windows为应用之间进行数据传输提供了多种传输方式，其中一种叫做动态交换协议，简称DDE
应用程序可以使用DDE协议进行数据传输和持续交换

恶意软件的这种利用方式非常狡猾，不会触发Office的宏安全警告，也可绕过传统杀毒软件的宏病毒防御

由于普通网民极少注意Office的域代码执行提示，对其中隐藏的安全风险也缺乏认识，勒索病毒的这种攻击方式容易得手

目前，金山毒霸安全实验室已针对勒索软件的这种