病毒概述
当今社会,,,,,,,Office已经成为全球办公的必备神器,,,,,,,使用职员险些时时刻刻都在举行着新建、翻开、编辑、关闭等行为。。。。。为了简化操作办法,,,,,,,进一步提高办公效率,,,,,,,Office提供了宏录制功效,,,,,,,可是Office宏在利便办公的同时,,,,,,,也利便了黑客使用其举行病毒撒播。。。。。
克日,,,,,,,3377体育网官网入口EDR清静实验室捕获到一个使用Office宏病毒举行撒播的勒索病毒样本,,,,,,,该样本诱骗用户启动宏,,,,,,,通过宏天生伪装为PDF文档的动态库文件,,,,,,,然后通过Rundll32.exe执行该文件,,,,,,,从而抵达下载并执行勒索病毒的目的。。。。。病毒制造者可谓良苦专心、狡诈至极,,,,,,,可是魔高一尺、道高一丈,,,,,,,3377体育网官网入口EDR可精准查杀和防御此类攻击行为,,,,,,,提醒宽大用户做好提防步伐。。。。。
病毒剖析
双击翻开带宏病毒的Word文档后,,,,,,,会显示一条启用宏的告警信息,,,,,,,指导被攻击者单击“启用内容”按钮;;;;;;;;

用户一但点击“启用内容”按钮,,,,,,,宏病毒即被触发。。。。。在公共文件夹中天生xls文件,,,,,,,之后通过宏天生伪装为PDF文档的动态库文件,,,,,,,然后挪用Rundll32.exe加载执行此文件;;;;;;;;

动态库文件被执行后,,,,,,,将从指定服务器下载真正的勒索病毒文件并执行。。。。。至此,,,,,,,真正的勒索病毒文件才被执行;;;;;;;;

为避免数据恢复,,,,,,,勒索病毒执行后首先举行删除卷影、删除备份、榨取修复等操作,,,,,,,然后天生勒索病毒ID;;;;;;;;


统一为被勒索的文件天生后缀名.eking;;;;;;;;

获取盘算机名,,,,,,,准备对文件举行加密;;;;;;;;

释放大招,,,,,,,挪用AES算法最先对文件加密;;;;;;;;

加密完成后,,,,,,,在C盘根目录释放勒索信,,,,,,,提醒用户已经被勒索。。。。。

防护建议
1. 实时备份电脑上的文件;;;;;;;;
2. 不要点击泉源不明的Microsoft Office文档,,,,,,,如Word、Excel、PPT等;;;;;;;;
3. 翻开Office文档提醒“启用内容”时,,,,,,,建议审慎操作,,,,,,,非必需启用时不建议启用,,,,,,,如必需启用,,,,,,,应先举行病毒查杀,,,,,,,确保文档清静后再启用;;;;;;;;
4. 建议装置3377体育网官网入口EDR清静产品举行实时防护,,,,,,,可有用检测和防御该类病毒。。。。。
3377体育网官网入口EDR获取方法
1. 3377体育网官网入口EDR企业版试用:可通过3377体育网官网入口各地分公司获取。。。。。
(盘问网址:http://www.topsec.com.cn/contact/)
2. 3377体育网官网入口EDR单机版下载地点:
http://edr.topsec.com.cn

- 要害词标签:
- 3377体育网官网入口 病毒撒播 Office宏病毒

京公网安备 11010802026257号