新型加密勒索軟件 - Locky
New Ransomware - Locky
HKCERT
2016-05-31 14:00:00
https://www.hkcert.org/my_url/zh/alert/16031701
一隻稱為Locky的新型加密勒索軟件正透過大量垃圾郵件及被入侵的網站快速散播。HKCERT收到大量受害者的報告。
Locky如何散播
1. 垃圾電郵
部份受害者在打開垃圾電郵的附件時受到感染:
已知的垃圾電郵標題包括:
ATTN: Invoice J-[RANDOM NUMBERS]
Your booking [RANDOM NUMBERS] is confirmed
Payment ACCEPTED [RANDOM NUMBERS]
FW: Invoice 2016-M#[RANDOM NUMBER]
惡意電郵中的附件可能是已啟動巨集的微軟Office檔案、包含javascript(.js)檔案的".zip"檔案、或其他格式的檔案。
附件通常是一個可以避過反惡意軟件偵測的下載器。
電郵可能會假扮由收件人自己發出,或由一個第三者發出。
2. 被入侵的網站
部份受害者在訪問被黑客入侵的網站時受感染。 這些網站主要針對Internet Explorer用家。
影響
Locky 會加密受害電腦上的檔案,並會為它們加上.locky副檔名。
網絡硬碟上的檔案同受影響。
被勒索軟件加密的數據將無法恢復。
保護自己免受勒索軟件影響,請參考以下建議:
刪除收到的可疑電郵,尤其是包含連結或附件的。
部份微軟Office 檔案會要求用家啟動巨集以觀看其內容,對此類電郵附件必須提高警覺。
定期備份電腦上的檔案,並離線保存。
確保更新電腦上的保安軟件。
保持更新操作系統及其他軟件。
一旦受到感染,馬上將受感染電腦從網絡上及外置儲存裝置隔離。不要在清除惡意軟件前開啟任何檔案。