小心来历不明的Word文档双击就中勒索病毒

2017-11-08 来源：金山毒霸安全实验室作者：金山毒霸安全实验室

金山毒霸安全实验室监测发现，近期在Word文档中做手脚传播的恶意软件增多。不法分子在Word文档内插入特殊的图片，若按提示双击图片，就会启动背后的PowerShell代码下载勒索病毒，最终造成电脑上的数据文件被勒索病毒加密。

图1 含有PowerShell脚本病毒的Word文档

文档中央示意用户双击的图片是什么呢？可以用右键查看“包装程序外壳对象 ” 属性，发现这个图片会链接到一个网站执行PowerShell脚本下载程序。

图2 Word文档内嵌图片对象的属性

如果按提示双击图片，就会弹出如下对话框

图3 双击后会系统弹出安全警告，提示会打开一个文件

如果无视上述警告，电脑就会立刻中毒。接着电脑存储的数据文件被加密，系统弹出的勒索比特币的对话框。

图4 电脑弹出勒索比特币的界面

金山毒霸安全实验室提醒用户特别留意来历不明的文档，不要轻易按这些文档的要求去执行双击操作，避免自己成为勒索病毒的受害者。因勒索病毒的加密机制，在绝大多数情况下，解密恢复几无可能，金山毒霸的防勒索功能可以防止用户受害，请确保安全软件的防御功能处于开启状态。

图5 金山毒霸拦截到勒索病毒试图破坏数据

上一篇：今年“双11”堪比奥数考试，如何做到不被坑？

更多动态请关注微信公众号，请使用微信“扫一扫”

小心来历不明的Word文档 双击就中勒索病毒