TurboMail工程師重要提醒：慎重打開郵件中的Word附件

在全球瘋狂傳播的」Locky」病毒，目前也開始在中國國內大肆傳播，TurboMail郵件系統工程師提醒廣大郵箱管理員，有必要立刻通知全部的郵箱用戶當心處理含有Word附件的郵件，如發現有異常，不要點擊查看Word附件。

下圖爲TurboMail郵件系統攔截的一個」Locky」病毒郵件的案例。

2月19日，德國媒體報道，一款家族名爲」Locky」的勒索者惡意軟件每小時感染德國5300臺計算機，Locky由此進入人們視野。目前，Locky已經蔓延到包括德國、荷蘭、美國在內的十幾個國家，國內知名論壇上也陸續開始出現關於Locky的討論，很多人在尋求文件被修改「.lock」的加密文件後的解決方案，可見部分國內網民已經中招，而某寶上也有公開出售Locky的解密密鑰。幾乎同時，金山安全接到多個企業報警顯示Locky已在其內網蔓延，並影響到生產環節，事態進一步升級。

金山安全反病毒實驗室採集到Locky樣本，分析發現勒索提示能夠顯示中文，可見這次勒索事件與以往「國外中招，中國躺槍」不一樣，犯罪集團的矛頭開始指向中國用戶。

Locky攻擊流程

如圖所示，黑客向受害者郵箱發送帶有惡意word文檔的Email，word文檔中包含有黑客精心構造的惡意宏代碼，受害者打開word文檔並運行宏代碼後，主機會主動鏈接指定的web服務器，下載locky惡意軟件到本地Temp目錄下，並強制執行。locky惡意代碼被加載執行後，主動鏈接黑客C&C服務器，執行上傳本機信息，下載加密公鑰。locky遍歷本地全部磁盤和文件夾，找到特定後綴的文件，將其加密成「.locky」的文件。加密完成後生成勒索提示文件。

惡意代碼執行的關鍵一步是宏代碼的手動啓用。多數Office軟件默認不運行宏代碼，在遇到帶宏代碼的文檔時，須要用戶手動啓用。同時，Office 2010遇到帶不可信宏代碼文件會彈出提示信息，以下圖所示。所以只有用戶單擊「啓用宏」，惡意代碼才能獲得執行。

經過對Locky樣本的深刻分析和對攻擊事件的還原，咱們知道勒索者惡意軟件Locky的攻擊手法並不新奇，通常是經過郵件形式傳播，須要被攻擊用戶主動打開附件內容並點擊容許宏代碼執行。可見傳統的攻擊手段並無失效，office宏病毒的破壞力依然存在。

截至目前，樣本Word文件宏代碼訪問的服務器、locky主體交互的C&C服務器均已關閉，一些域名已經無效，故當前截獲的Word樣本沒法鏈接服務器下載locky惡意軟件，已存在的locky惡意軟件也因沒法從C&C服務器獲取公鑰，從而沒法加密本地文件。但這次事件的威脅依然存在，存在的大量樣本變種代表，勒索者事件是有組織的犯罪團伙所爲，惡意代碼做者只需修改代碼中鏈接服務器的域名信息或者IP地址，即可以大批量再生產有效攻擊樣本，罪犯們須要作的僅僅是購置非法域名和服務器。

值得注意的是，前幾年的勒索事件因國人少有使用比特幣的習慣，基本沒有用戶爲此買單，勒索者矛頭並無指向中國內地，中招者純屬「躺槍」。然而，此例樣本能夠彈出中文勒索提示，代表勒索事件開始蔓延到國內。

2016年勒索類惡意軟件將愈演愈烈，加密後的文件很難被找回已爲業界公認。對付勒索類惡意軟件依然是以預防爲主：按期備份重要文件，小心陌生郵件及附件，在打開帶宏代碼的Office文件時應特別注意，確承認信後再啓用宏運行。

新聞部份內容來源：http://www.pconline.com.cn