证券简称:天融信 证券代码:002212
全天候7x24小时服务: 400-777-0777

一不留神,竟成“帮凶”?-wepoker官网

当今社会,office已经成为全球办公的必备神器,使用人员几乎每时每刻都在进行着新建、打开、编辑、关闭等行为。为了简化操作步骤,进一步提高办公效率,office提供了宏录制功能,但是office宏在方便办公的同时,也方便了黑客利用其进行病毒传播。
发布时间:2021-03-12
浏览次数:1893
分享:

病毒概述

当今社会,office已经成为全球办公的必备神器,使用人员几乎每时每刻都在进行着新建、打开、编辑、关闭等行为。为了简化操作步骤,进一步提高办公效率,office提供了宏录制功能,但是office宏在方便办公的同时,也方便了黑客利用其进行病毒传播。

近日,天融信edr安全实验室捕获到一个利用office宏病毒进行传播的勒索病毒样本,该样本诱骗用户启动宏,通过宏生成伪装为pdf文档的动态库文件,然后通过rundll32.exe执行该文件,从而达到下载并执行勒索病毒的目的。病毒制造者可谓良苦用心、狡猾至极,但是魔高一尺、道高一丈,天融信edr可精准查杀和防御此类攻击行为,提醒广大用户做好防范措施。

病毒分析

双击打开带宏病毒的word文档后,会显示一条启用宏的告警信息,引导被攻击者单击“启用内容”按钮;

用户一但点击“启用内容”按钮,宏病毒即被触发。在公共文件夹中生成xls文件,之后通过宏生成伪装为pdf文档的动态库文件,然后调用rundll32.exe加载执行此文件;

动态库文件被执行后,将从指定服务器下载真正的勒索病毒文件并执行。至此,真正的勒索病毒文件才被执行;

为防止数据恢复,勒索病毒执行后首先进行删除卷影、删除备份、禁止修复等操作,然后生成勒索病毒id;

统一为被勒索的文件生成后缀名.eking;

获取计算机名,准备对文件进行加密;

释放大招,调用aes算法开始对文件加密;

加密完成后,在c盘根目录释放勒索信,提示用户已经被勒索。

防护建议

1. 及时备份电脑上的文件;

2. 不要点击来历不明的microsoft office文档,如word、excel、ppt等;

3. 打开office文档提示“启用内容”时,建议谨慎操作,非必须启用时不建议启用,如必须启用,应先进行病毒查杀,确保文档安全后再启用;

4. 建议安装天融信edr安全产品进行实时防护,可有效检测和防御该类病毒。

天融信edr获取方式

1. 天融信edr企业版试用:可通过天融信各地分公司获取。

(查询网址:http://www.topsec.com.cn/contact/)

2. 天融信edr单机版下载地址:

http://edr.topsec.com.cn

关键词标签:
天融信 病毒传播 office宏病毒
在线咨询





在线留言





客户服务热线

400-777-0777
7*24小时服务

联系邮箱

servicing@topsec.com.cn

扫码关注
网站地图