病毒概述

當(dāng)今社會，Office已經(jīng)成為全球辦公的必備神器，使用人員幾乎每時每刻都在進(jìn)行著新建、打開、編輯、關(guān)閉等行為。為了簡化操作步驟，進(jìn)一步提高辦公效率，Office提供了宏錄制功能，但是Office宏在方便辦公的同時，也方便了黑客利用其進(jìn)行病毒傳播。

近日，天融信EDR安全實(shí)驗(yàn)室捕獲到一個利用Office宏病毒進(jìn)行傳播的勒索病毒樣本，該樣本誘騙用戶啟動宏，通過宏生成偽裝為PDF文檔的動態(tài)庫文件，然后通過Rundll32.exe執(zhí)行該文件，從而達(dá)到下載并執(zhí)行勒索病毒的目的。病毒制造者可謂良苦用心、狡猾至極，但是魔高一尺、道高一丈，天融信EDR可精準(zhǔn)查殺和防御此類攻擊行為，提醒廣大用戶做好防范措施。

病毒分析

雙擊打開帶宏病毒的Word文檔后，會顯示一條啟用宏的告警信息，引導(dǎo)被攻擊者單擊“啟用內(nèi)容”按鈕；

用戶一但點(diǎn)擊“啟用內(nèi)容”按鈕，宏病毒即被觸發(fā)。在公共文件夾中生成xls文件，之后通過宏生成偽裝為PDF文檔的動態(tài)庫文件，然后調(diào)用Rundll32.exe加載執(zhí)行此文件；

動態(tài)庫文件被執(zhí)行后，將從指定服務(wù)器下載真正的勒索病毒文件并執(zhí)行。至此，真正的勒索病毒文件才被執(zhí)行；

為防止數(shù)據(jù)恢復(fù)，勒索病毒執(zhí)行后首先進(jìn)行刪除卷影、刪除備份、禁止修復(fù)等操作，然后生成勒索病毒ID；

統(tǒng)一為被勒索的文件生成后綴名.eking；

獲取計(jì)算機(jī)名，準(zhǔn)備對文件進(jìn)行加密；

釋放大招，調(diào)用AES算法開始對文件加密；

加密完成后，在C盤根目錄釋放勒索信，提示用戶已經(jīng)被勒索。

防護(hù)建議

1. 及時備份電腦上的文件；

2. 不要點(diǎn)擊來歷不明的Microsoft Office文檔，如Word、Excel、PPT等；

3. 打開Office文檔提示“啟用內(nèi)容”時，建議謹(jǐn)慎操作，非必須啟用時不建議啟用，如必須啟用，應(yīng)先進(jìn)行病毒查殺，確保文檔安全后再啟用；

4. 建議安裝天融信EDR安全產(chǎn)品進(jìn)行實(shí)時防護(hù)，可有效檢測和防御該類病毒。

天融信EDR獲取方式

1. 天融信EDR企業(yè)版試用：可通過天融信各地分公司獲取。

（查詢網(wǎng)址：http://gdxsl.cn/contact/）

2. 天融信EDR單機(jī)版下載地址：

http://edr.topsec.com.cn