其他
一不留神,竟成“帮凶”?
病毒概述
当今社会,Office已经成为全球办公的必备神器,使用人员几乎每时每刻都在进行着新建、打开、编辑、关闭等行为。为了简化操作步骤,进一步提高办公效率,Office提供了宏录制功能,但是Office宏在方便办公的同时,也方便了黑客利用其进行病毒传播。
病毒分析
用户一旦点击“启用内容”按钮,宏病毒即被触发。在公共文件夹中生成xls文件,之后通过宏生成伪装为PDF文档的动态库文件,然后调用Rundll32.exe加载执行此文件;
动态库文件被执行后,将从指定服务器下载真正的勒索病毒文件并执行。至此,真正的勒索病毒文件才被执行;
为防止数据恢复,勒索病毒执行后首先进行删除卷影、删除备份、禁止修复等操作,然后生成勒索病毒ID;
统一为被勒索的文件生成后缀名.eking;
获取计算机名,准备对文件进行加密;
释放大招,调用AES算法开始对文件加密;
加密完成后,在C盘根目录释放勒索信,提示用户已经被勒索。
防护建议
1. 及时备份电脑上的文件;
2. 不要点击来历不明的Microsoft Office文档,如Word、Excel、PPT等;
3. 打开Office文档提示“启用内容”时,建议谨慎操作,非必须启用时不建议启用,如必须启用,应先进行病毒查杀,确保文档安全后再启用;
4. 建议安装天融信EDR安全产品进行实时防护,可有效检测和防御该类病毒。
天融信EDR获取方式
1. 天融信EDR企业版试用:可通过天融信各地分公司获取。
(查询网址:http://www.topsec.com.cn/contact/)
2. 天融信EDR单机版下载地址:
http://edr.topsec.com.cn
相关阅读
01
“特供版”Flash Player广告连连02030405
热点推荐