blog

不要下载此Word文件:新的勒索软件在96小时内删除受害者的文件

安全研究人员发现了一种新的勒索软件形式,通过恶意的Microsoft Office文档和Word文件进行分发 - 攻击者已经发布视频,让受害者走过购买比特币以获得赎金的过程。蜘蛛病毒勒索软件活动于12月10日由网络安全公司Netskope的研究人员首次发现,并且随着攻击者主要针对巴尔干地区的受害者而继续传播。虽然蜘蛛病毒攻击可能是新的,但它的方法对于勒索软件活动都是有效的。该攻击通过与恶意Microsoft Office附件绑定的电子邮件开始传播。电子邮件主题和内容旨在吸引受害者的眼球并打开文档。当他们这样做时,攻击开始占据上风。虽然下载的附件具有合法文档的外观,但它掩盖了下载的真实性质。 Word文档包含“宏”或宏指令代码,当用户尝试打开文档时,它开始从主机网站下载勒索软件攻击。下载在后台进行,一旦完成,就开始在机器上执行勒索软件有效负载。随着蜘蛛病毒开始运行,它会加密受害者的数据,并在被扣为人质的文件末尾添加“.spider”扩展名。一旦勒索软件运行完毕,受害者就会收到来自攻击者的勒索信。该注释通知受害者“所有重要文件都已加密,您无法再访问它们。”为了重新获得对文件的访问权限,勒索软件要求用户访问解密密钥所在的网站。为了访问该网站,受害者必须下载Tor浏览器 - 攻击者在其赎金票据中帮助提供了教程。一旦用户访问该网站,他们就需要在比特币中进行支付以获得正确的密钥。在勒索软件的“帮助”部分中找到的视频向受害者展示了如何购买和使用加密货币进行支付。用户有96小时进行支付解密密钥的过程。如果他们没有这样做,勒索软件将据称永久删除机器上的文件。攻击者建议受害者支付赎金,而不是“尝试任何愚蠢的事情。”避免像蜘蛛病毒这样的攻击要求用户密切关注他们的电子邮件,以避免网络钓鱼诈骗和其他可能潜入收件箱的恶意攻击。用户不应下载从他们无法识别的发件人处收到的文件。此外,用户应禁用宏以防止执行此类攻击。为此,请在Microsoft Office中打开“访问”菜单。用户应从中单击信任中心,然后单击信任中心设置并打开宏设置。从这里,他们可以确保不启用宏。最后,针对勒索软件攻击的最佳防御措施是定期备份所有文件 - 或者至少是重要文件。虽然攻击可以擦除设备上的文件,但受害者可以快速恢复备份操作而不会丢失任何有价值的内容。

查看所有