比特币勒索软件“LOCKY”登陆安徽

3月24日上午，铜陵市公安局网安支队接到该市某企业员工报案，称：其电脑内的文档等文件被加密成后缀名为“lock”的文件，内容无法看到。电脑界面上提示按照其指定的方式付款后才能给予解开。

据公安局网安支队副支队长戴华介绍，此电脑中文档是被一种名为“Locky勒索者”的恶意软件加密后造成的。经分析发现，这是一类利用垃圾邮件进行传播的勒索软件，是首例具有中文提示的比特币勒索软件，这说明犯罪集团的矛头已开始指向中国用户。

黑 客向受害者邮箱发送带有恶意word文档的Email，word文档中包含有黑客精心构造的恶意宏代码，受害者打开word文档并运行宏代码后，主机会主 动连接指定的web服务器， 下载locky恶意软件到本地Temp目录下，并强制执行。locky恶意代码被加载执行后，主动连接黑客C&C服 务器，执行上传本机信息，下载 加密公钥。

恶 意代码执行的关键一步是宏代码的手动启用。doc文件使用Word 2003打开即可运行宏代码。而Office 2007及以上版本的Office软件 时，宏代码是否能运行对后缀名有严格的要求，保证Office 2007以上版本也能执行恶意代码，这需要用户手动启用。 因此只有用户单击“启用宏”， 恶意代码才能得到执行。

勒索软件“Locky”能给攻击者带来巨大的收益，因其使用比特币进行交易，所以很难追踪;一旦用户感染了勒索软件，只能付费进行解密或是丢弃这些文件。即使支付赎金也不一定能保证可以完全恢复被加密的文件。

据 戴华副支队长介绍，这也是今年首次碰到此类勒索恶意软件，说明此类攻击已登陆铜陵市企业，主要通过邮件中的恶意文档来进入受害者电脑。目前，加密后的文件 很难被找回已为业界公认。对付勒索类恶意软件依然是以预防为主：定期备份重要文件，当心陌生邮件及附件，在打开带宏代码的Office文件时应特别注意， 确认可信后再启用宏运行。 (戴华 吴彬  记者 刘海泉)

声明：此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。本网站所提供的信息，只供参考之用。