新闻链接：http://www.freebuf.com/news/96570.html
新闻时间：2016-02-22
新闻正文：

如果你最近收到一封邮件，而这封邮件里面包含一个微软word文档，那么你就需要小心了。

微软宏病毒归来！

恶意攻击者会开展社会工程学攻击，或通过发送引人注目的垃圾邮件，接下来会诱导受害者访问虚假网站在其系统中安装一款恶意软件“Locky”。如果你发现你的电脑中出现了文件后缀名为.locky 的文件，那么你就感染了该恶意软件，接下来你可以做两件事情，要么按照提示支付赎金，要么重现安装系统。该款恶意软件以4000台/小时速度传播，这意味着每天会出现100000台新感染的计算机。在2016年这的确是一个很难接受的事实，一个带有宏病毒的微软文档也可以轻松破坏你的计算机系统。从这一点上可以看出一些恶意攻击者的入侵思路。

恶意软件Locky可以以附件的形式添加进microsoft office 365 或Outlook中（Word文件中嵌入恶意的宏），宏”的概念可以追溯到上世纪90年代，你可能很了解这样一个信息提示：隐私问题警告：此文档中包含宏，现在恶意宏病毒回来了，而这种方式也作为恶意攻击攻击计算机系统的一种新方式。一旦计算机用户打开文件，那么文档就会自动运行宏。一旦计算机用户打开一个恶意word文档，文档被打开接下来病毒就会感染计算机系统。值得注意的是，当打开文件后会发现文件内容是乱码状态，然后弹出一个对话框上面显示“enable macros”。

更糟糕的情况

一旦受害者感染了宏病毒，那么接下来就会出现这样一个情况，他/她会从远程服务器下载一个可执行文件然后运行它。而这个文件是无关紧要的，因为恶意软件Locky已经开始加密你计算机的所有文件。该恶意软件几乎影响到了所有的文件格式以及后缀名。一旦完成整个过程，会出现这样一个信息，指示受害者下载Tor然后去访问指定的网站然后迫使受害者支付赎金。

该恶意软件要求受害者支付0.5-2比特币（208美元至800美元），才能获得解密的密匙。值得注意的是，该恶意软件有很多语言版本，并以最大限度的提高感染数量。

这款恶意软件的亮点是可以加密网络备份文件，所以将敏感的个人隐私信息备份或者转存到其它存储设备上是很有必要的，这样做可以躲避该类型恶意勒索软件。一名安全研究人员 Kevin Beaumont发现了该种恶意软件的存在。改名研究人员成功的拦截了恶意软件的网络流量数据，并发现该恶意勒索软件正在迅速蔓延。

Kevin在博客中表示：

“我估计每天会新增100000台感染该类恶意软件的计算机，该事件是这三天发生的重大安全事件，约25万台个人电脑将会被感染。”

而目前受到影响的国家包括德国、荷兰、美国、克罗地亚、马里、沙特阿拉伯、墨西哥、波兰、阿根廷等国家。

[课程]Linux pwn 探索篇！