病毒概述

当今社会，，，，，，Office已经成为全球办公的必备神器，，，，，，使用职员险些时时刻刻都在举行着新建、翻开、编辑、关闭等行为。。。。。。。为了简化操作办法，，，，，，进一步提高办公效率，，，，，，Office提供了宏录制功效，，，，，，可是Office宏在利便办公的同时，，，，，，也利便了黑客使用其举行病毒撒播。。。。。。。

克日，，，，，，3377体育网官网入口EDR清静实验室捕获到一个使用Office宏病毒举行撒播的勒索病毒样本，，，，，，该样本诱骗用户启动宏，，，，，，通过宏天生伪装为PDF文档的动态库文件，，，，，，然后通过Rundll32.exe执行该文件，，，，，，从而抵达下载并执行勒索病毒的目的。。。。。。。病毒制造者可谓良苦专心、狡诈至极，，，，，，可是魔高一尺、道高一丈，，，，，，3377体育网官网入口EDR可精准查杀和防御此类攻击行为，，，，，，提醒宽大用户做好提防步伐。。。。。。。

病毒剖析

双击翻开带宏病毒的Word文档后，，，，，，会显示一条启用宏的告警信息，，，，，，指导被攻击者单击“启用内容”按钮；；；；；；；

用户一但点击“启用内容”按钮，，，，，，宏病毒即被触发。。。。。。。在公共文件夹中天生xls文件，，，，，，之后通过宏天生伪装为PDF文档的动态库文件，，，，，，然后挪用Rundll32.exe加载执行此文件；；；；；；；

动态库文件被执行后，，，，，，将从指定服务器下载真正的勒索病毒文件并执行。。。。。。。至此，，，，，，真正的勒索病毒文件才被执行；；；；；；；

为避免数据恢复，，，，，，勒索病毒执行后首先举行删除卷影、删除备份、榨取修复等操作，，，，，，然后天生勒索病毒ID；；；；；；；

统一为被勒索的文件天生后缀名.eking；；；；；；；

获取盘算机名，，，，，，准备对文件举行加密；；；；；；；

释放大招，，，，，，挪用AES算法最先对文件加密；；；；；；；

加密完成后，，，，，，在C盘根目录释放勒索信，，，，，，提醒用户已经被勒索。。。。。。。

防护建议

1. 实时备份电脑上的文件；；；；；；；

2. 不要点击泉源不明的Microsoft Office文档，，，，，，如Word、Excel、PPT等；；；；；；；

3. 翻开Office文档提醒“启用内容”时，，，，，，建议审慎操作，，，，，，非必需启用时不建议启用，，，，，，如必需启用，，，，，，应先举行病毒查杀，，，，，，确保文档清静后再启用；；；；；；；

4. 建议装置3377体育网官网入口EDR清静产品举行实时防护，，，，，，可有用检测和防御该类病毒。。。。。。。

3377体育网官网入口EDR获取方法

1. 3377体育网官网入口EDR企业版试用：可通过3377体育网官网入口各地分公司获取。。。。。。。

（盘问网址：http://www.topsec.com.cn/contact/）

2. 3377体育网官网入口EDR单机版下载地点：

http://edr.topsec.com.cn