最狡猾的勒索病毒出現！打開Office文檔立刻中招

WannaCry、Petya、Cerber、Locky、Spora……勒索病毒如今已經泛濫成災，下半年幾乎每天都有新的變種出現，攻擊手法也無所不用其極。中了這種病毒後，用戶的電腦文件就會被高強度加密，能恢複的極為罕見，損失慘重。

這次是利用Office DDE(微軟動態數據交換)裏邊的一個漏洞，極具偽裝性、欺騙性。 用戶一旦點錯對話框，會立刻導致電腦文件被加密。

病毒會隱藏在不法分子精心偽造的電子郵件中。如果收件人粗心大意，下載了並點擊附件中的Office文檔，Office就會提示： “該文檔引用了其他文件，是否更新文檔中的這些域。”

如果用戶不加思索地去點擊“是”，隱藏在文檔中的惡意DDE代碼就會從遠程服務器下載勒索病毒程序，並執行文件加密動作。

分析文檔中的域代碼可以發現，它包含有使用Powershell腳本下載惡意程序的內容。

Windows為應用之間進行數據傳輸提供了多種傳輸方式，其中一種叫做動態交換協議，簡稱DDE。應用程序可以使用DDE協議進行數據傳輸和持續交換。

惡意軟件的這種利用方式非常狡猾，不會觸發Office的宏安全警告，也可繞過傳統殺毒軟件的宏病毒防禦。

由於普通網民極少注意Office的域代碼執行提示，對其中隱藏的安全風險也缺乏認識，勒索病毒的這種攻擊方式容易得手