金山毒霸預警：勒索病毒又更新 Office DDE漏洞被利用

勒索軟件已見怪不怪了，下半年每天都有新的勒索軟件出現，中毒電腦文件被高強度加密，能恢複的極為罕見，受害用戶損失慘重。勒索病毒的攻擊手法也無所不用其極，本周末，金山毒霸安全實驗室再次截獲最新的勒索軟件，該病毒利用Office DDE漏洞（Microsoft動態數據交換），極具偽裝性、欺騙性，用戶點錯對話框會立刻導致電腦文件被加密。 

病毒最初來源於不法分子精心偽造的電子郵件，如果收件人粗心大意，下載點擊附件中的Office文檔。Office會提示“該文檔引用了其他文件，是否更新文檔中的這些域”，如下圖所示：

圖1 勒索病毒利用DDE漏洞隱藏在Office文檔中

如果用戶不加思索去點擊是，隱藏在文檔中的惡意DDE代碼就會從遠程服務器下載勒索病毒程序並執行文件加密動作。    

分析文檔中的域代碼，會發現包含有使用Powershell腳本下載惡意程序的內容。

圖2 攻擊文檔隱藏的域代碼

Windows 為應用之間進行數據傳輸提供了多種傳輸方式，其中一種叫做動態交換協議，簡稱DDE協議，應用程序可以使用DDE協議進行數據傳輸和持續交換。惡意軟件的這種利用方式不會觸發Office的宏安全警告，也可繞過傳統殺毒軟件的宏病毒防禦。     

勒索軟件自2016年起就開始呈現井噴式發展，殺毒軟件不斷針對勒索軟件強化防禦措施，令黑色產業也必須挖空心思升級新的攻擊利用方式。因普通網民極少注意Office域代碼執行提示，對其中隱藏的安全風險也缺乏認識，勒索病毒的這種攻擊方式容易得手。      

金山毒霸安全實驗室已針對勒索軟件的這種全新的攻擊方式升級了防禦策略，會在惡意代碼執行之前予以攔截，保護用戶電腦安全。

圖3 金山毒霸攔截攻擊文檔中的下載行為

金山毒霸安全專家建議網民謹慎處理電子郵件，小心那些來曆不明的附件，如果看到比較少見的Office提示框，建議看清楚之後再點擊。重要文檔最好及時備份，避免遭遇勒索病毒的破壞出現無法挽回的損失。