警告！Windows 10重大更新通知也有假，竟夹带勒索病毒

近日，你可能已经收到了一封关于“立即安装最新的微软更新！”或“重大微软Windows更新！”的假冒微软官方发送的邮件通知，内文更是要求你“请安装此邮件内附的最新微软重大更新”。同时邮件还夹带了一个看似JPG的文件，而实际上是一个可执行.NET文件。但其实微软从未通过电子邮件来发送更新，正是因为许多人并不知道这点，这也让伪装成Windows 10更新的新勒索病毒有机可乘。

其实，近年来针对Windows系统的网络攻击屡见不鲜。今年上半年，亚信安全就截获一款伪装成补丁安装程序的下载器木马病毒，该病毒运行后会弹出补丁安装成功的消息框，用来迷惑用户。实质上，其会链接恶意网址下载恶意文件，并将下载的恶意文件加载到内存中，经过解密后再次下载恶意后门程序，最终的恶意程序是使用meterpreter(MSF)攻击框架生成的标准攻击载荷。亚信安全将该恶意下载器命名为：Trojan.Win32.DLOADER.BK。

不只是假冒补丁程序，不法分子还热衷于将恶意软件伪装成Word、Excel一类的实用文档。今年6月，亚信安全研究人员发现Sodinokibi勒索病毒最新变种通过钓鱼邮件进行传播，其攻击目标为商贸、科技、机关等单位相关工作人员。亚信安全将其命名为Ransom.Win32.SODINOKIBI.AUWSP。该勒索病毒最早出现于2019年4月底，早期利用Oracle WebLogic Server中的反序列化漏洞(CVE-2019-2725)进行传播。新变种隐藏与钓鱼邮件附件中，并伪装成Word文档，文件名则具有迷惑性，诱导用户点击：

不要天真的认为，不法分子只能通过邮件攻击的形式感染Window系统。今年8月，亚信安全截获新型Sodinokibi勒索病毒变种文件，本次变种文件不再通过垃圾邮件附件传播，而是利用PowerShell脚本以“无文件”方式在内网扩散传播。如果用户内网存在弱口令、系统漏洞或者应用漏洞，就极有可能被注入恶意的PS脚本，然后下载加密的Sodinokibi勒索病毒主体文件到系统内存中，最终完成勒索行为。亚信安全将其命名为Ransom.Win32.SODINOKIBI.AUWT。加密后，计算机上的文件扩展名修改为：bgeezl1，计算机桌面修改如下：

亚信安全教你如何防范