勒索軟件的威脅在新一年有增無減,Unwire.pro 一直有報導勒索軟件的相關消息,並提醒使用者要提供安全意識,收到來歷不明的電郵不要輕易點擊其中附帶的連結。然而勒索軟件的入侵方式可謂層出不窮,令人防不勝防。
近日網絡上又出現了新型的攻擊方式,利用使用者對 Microsoft Word 檔沒有戒心,開啟文字檔時要求啟用巨集才能正確檢視亂碼內容,實質是暗中下載勒索軟件感染加密用戶的檔案,儼如 90 年代流行的巨集病毒。
勒索軟件暗藏 Word 檔巨集 偽裝商業電郵欺騙用戶下載
新的攻擊方式仿效以往勒索軟件利用電子郵件欺騙用戶的方法,不過更為高明。這些電子郵件會偽裝成公司之間的商業電郵往來,未必會附帶可疑的網絡連結,反而是提供名為商業發票或貨品清單等 Microsoft Word 或 Excel 格式的資料檔案,讓用戶降低戒心下載。
當用戶不疑有詐開啟檔案檢視時,就會發現文檔內的大部分資料均顯示為亂碼,同時亦會看到 Enable macro if the data encoding is incorrect 類似的訊息,提醒用戶啟用檔案內包含的巨集內容才能看到資料,但實質上是讓用戶下載運行勒索軟件。
一旦用戶選擇啟用巨集,就會從遠端伺服器中下載名為 Locky 的勒索軟件並自動執行,然後快速感染並加密用戶電腦中近乎所有格式的檔案,甚至連儲存在網絡服務中的檔案亦未能倖免,並將所有加密的檔案置換成 .locky 的檔案格式。
當完成加密後,勒索軟件就會提醒用戶所有檔案已被加密,並指引用戶如何使用 Tor 瀏覽器連接攻擊者的網站及告知用戶如何交付贖金,目前 Locky 會要求受害者支付 0.5 到 2 個 Bitcoin(約 208 至 800 美元價值)換取解密鑰匙。
情況儼如 90 年代中期,黑客利用 Microsoft Office 內的 Visual Basic for Applications (VBA) 程式語言可以存取系統函數並支援文件開啟時自動執行巨集的特性,編寫巨集病毒一樣。不過經過了接近二十年的時間,巨集病毒已轉變成殺傷力更大的勒索軟件。
Locky 翻譯多國語言版本 快速蔓延多個國家受影響
Locky 勒索軟件最先被安全研究人員 Kevin Beaumont 和 BleepingComputer 的 Larry Abrahms 發現,同時亦發現該勒索軟件具有感染加密網絡備份檔案的能力。
根據 Kevin Beaumont 的追查,發現 Locky 正在網絡上迅速擴散並造成頗大的影響,他更估計 Locky 在 3 天時間內已感染了超過 100,000 個新的終端節點,共計影響約 250,000 部電腦,受影響的用戶遍布德國、荷蘭、波蘭、美國、墨西哥、阿根廷等多個國家。而在 Google 的相關的搜尋趨勢急增亦證明了 Locky 正快速蔓延。
值得一提的是,雖然目前受影響的多為美洲及歐洲國家,不過 Locky 正積極翻譯成多種語言版本,其中就包括日語版。可見蔓延到亞洲地區只是時間的問題,不論是個人用戶還是企業都應提高對類似攻擊方式的警惕,同時亦可參考早前 Unwire.pro 針對勒索軟件應對策略的專題文章中的建議,及早防範,避免重要資料的損失。
Source: Medium Thehackernews