Locky勒索軟體傳播新方式：關閉Word文檔會感染電腦

E安全9月5日訊 網路犯罪分子仍未放棄傳播Locky勒索軟體，除了廣為人知的傳播途徑，少數犯罪分子也在嘗試使用新的散布方式。最近，就有黑客通過修改的Word文檔傳播Locky勒索軟體的Payload，並且Payload只會在Word文檔關閉時被觸發。

Locky感染新方法

網路犯罪分子可利用微軟Word軟體套件執行許多理論上不可行的惡意操作，例如迫使用戶啟用特定宏安裝惡意軟體，從而查看文檔內容，並且以這種方式散布惡意Payload看似也可行。鑒於每個勒索軟體傳播者都在使用這種方法，用戶日益警覺這類威脅。

最新的Locky勒索軟體傳播方式仍依賴Word文檔，這種方式近期不會發生變化。犯罪分子發現新的感染方法：利用包含Locky惡意軟體的Word文檔，而關閉文檔才會下載Payload並執行惡意軟體，這種傳送Payload的方式相當獨特。

這種方法與先前的散布方式類似，仍依賴Word宏，用戶仍然需啟用宏，攻擊才會得手。然而，該方法不必顯示內容本身，因為文檔本身會顯示信息。

這對受害者安裝的安全軟體也會有影響，因為當內容顯示時，現有的大多數安全軟體會阻止Word文檔中的宏，啟用-關閉宏是新的解決方案。大多數沙盒環境會默認允許啟用Word宏功能。雖然這類新型文檔看似完全無害，但仍可能會秘密感染計算機。

這類新型Word感染方法並不是Locky勒索軟體的唯一傳播方式，另一名研究人員還發現攻擊者使用虛假的Dropbox電子郵件網路釣魚方法。一旦點擊電子郵件中的鏈接，用戶會被重定向至偽造網站，在目標設備上安裝Locky Payload。專家推測，犯罪分子將會繼續傳播Locky。

目前打擊勒索軟體的行動似乎並未跟上步伐，在這場「貓捉老鼠」的遊戲中，網路犯罪分子仍領先安全研究人員。Locky躋身前幾大勒索軟體已久，不可能會在在一夜之間消失。新型Word宏騙術會讓電腦用戶面臨的風險會越來越大。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！