服务器word文件病毒,极具欺骗性的勒索病毒出现!打开Office文档立刻中招

最新推荐文章于 2024-07-11 11:27:57 发布
最新推荐文章于 2024-07-11 11:27:57 发布
阅读量1.7k 收藏
点赞数
文章标签: 服务器word文件病毒

WannaCry、Petya、Cerber、Locky、Spora……勒索病毒如今已经泛滥成灾,下半年几乎每天都有新的变种出现,攻击手法也无所不用其极。中了这种病毒后,用户的电脑文件就会被高强度加密,能恢复的极为罕见,损失惨重。

584_2017102065003491.jpg

本周末,金山毒霸安全实验室再次截获最新的勒索病毒,这次是利用Office DDE(微软动态数据交换)里边的一个漏洞,极具伪装性、欺骗性。用户一旦点错对话框,会立刻导致电脑文件被加密。

病毒会隐藏在不法分子精心伪造的电子邮件中。如果收件人粗心大意,下载了并点击附件中的Office文档,Office就会提示:“该文档引用了其他文件,是否更新文档中的这些域。”

584_2017102065004510.png

如果用户不加思索地去点击“是”,隐藏在文档中的恶意DDE代码就会从远程服务器下载勒索病毒程序,并执行文件加密动作。

分析文档中的域代码可以发现,它包含有使用Powershell脚本下载恶意程序的内容。

584_2017102065001905.png

Windows为应用之间进行数据传输提供了多种传输方式,其中一种叫做动态交换协议,简称DDE。应用程序可以使用DDE协议进行数据传输和持续交换。

恶意软件的这种利用方式非常狡猾,不会触发Office的宏安全警告,也可绕过传统杀毒软件的宏病毒防御。

由于普通网民极少注意Office的域代码执行提示,对其中隐藏的安全风险也缺乏认识,勒索病毒的这种攻击方式容易得手。

目前,金山毒霸安全实验室已针对勒索软件的这种

584_2017102065003287.png

weixin_40008884
关注
【应急响应篇】勒索病毒应急响应指南
大河之犬的博客
04-20 961
在初步预判遭遇勒索病毒攻击后,需要了解被加密文件的修改时间及勒索信建立时间,以此推断攻击者执行勒索程序的时间轴,以便后续依据此时间进行溯源分析,追踪攻击者的活动路径。一些提示信息中会包含勒索病毒的标识,由此可直接判断本次感染的是哪一类勒索病毒,再通过勒索病毒处置工具查看是否能够解密。确认勒索病毒事件后,需要及时对勒索病毒进行清理并进行相应的数据恢复工作,同时对服务器/主机进行安全加固,避免二次感染。此外,文档卫士还集合了“文件解密”功能,安全专家可对一些勒索病毒家族进行逆向分析,实现多种类型的文件解密。
计算机病毒——32位文件病毒
Yo_ol的博客
04-25 1847
实验目的:(1)了解文件病毒制造基本原理; (2)了解病毒的感染、破坏机制、进一步认识病毒程序; (3)掌握文件病毒的特征和内在机制; 实验环境:Win2000\Win9X\WinNT\WinXP 实验内容:用PE分析器对比分析文件感染病毒后的变化 病毒引导说明: 文件病毒,没有引导部分演示 病毒传染说明: 传染范围:Virus.exe所在目录 传染目标:可执行文件(.exe) ...
看到病毒警报别大意 当心文件被敲诈者加密!
weixin_42508242的博客
12-16
近日,360互联网安全中心接到用户求助,称收到一封名为“亚马逊电子账单”的邮件,要求安装插件才能查看账单。尽管360弹窗警告,但用户却误以为是安全软件太敏感,忽略了安全提示,不料果真遭遇敲诈病毒Osiris入侵,导致电脑中重要文件均被加密,并面临一万余元的经济损失。 中招者称,由于经常在亚马逊购买商品,所以接到电子账单时毫无戒备。邮件提示,想查询账单必须安装附件中的插件,当中招者运行附件时...
解决office安装错误:无法成功完成操作,文件包含病毒或潜在的垃圾文件的方法
最新发布
2401_86206169的博客
07-11 2961
出现这个错误,实际上就是电脑上的杀毒软件、防火墙以及系统自带的安全软件(实时防护)没有退出干净造成的。今天与大家谈谈,Windows操作系统下,安装office办公软件常见的错误:无法成功完成操作,因为文件包含病毒或潜在的垃圾文件;3、找到 ”排除项“ 下的 ”添加或删除排除项“(注意,该方法可能已经无效,可使用下面的方法)6、找到刚刚被阻止的操作并选择操作 ”还原“ 或 ”允许“ 再重新安装或打开应用程序即可。2、选择 ”病毒和威胁防护“,并将 ”实时保护“ 关闭。4、找到并打开 ”允许的威胁“
专门感染word文件的计算机病毒是什么,计算机病毒分类及详细介绍.doc
weixin_39939668的博客
07-20 7359
(Script.Redlof)--可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。3、系统病毒系统病毒的前缀为: Win32 、PE、Win95 、W32、W95 等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和*.dll 文件,并通...
Word病毒
hxxjxw的博客
04-24 7937
病毒就是Word中被嵌入的带有恶意行为的宏代码(VBA代码),当我们双击打开带有宏病毒word文档的时候它的宏代码会自动运行 1、自动运行的宏 通过为一个宏赋予某个特殊的名称,就可在执行某项操作(例如启动 Word打开文档)时自动运行宏。 Word 将下列名称识别为自动宏,或称“auto”宏。 AutoExec:启动 Word 或加载全局模板时 AutoNew...
恶意代码实验3:Word病毒实验
qq_63949327的博客
11-21 2310
只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。回答不正确三次,即可自动跳出病毒程序,但那时已经出现几十个文档。1、打开的宏编辑器如图所示,即可编写病毒代码。
windows勒索病毒专杀工具:一键修复 彻底查杀
05-22
从 5 月 12 日爆发至今,名为WannaCry的勒索病毒让全球数十万Windows计算机中招,黑客将用户计算机中的重要文件实施加密,并索要赎金解锁。这种情况如果发生在企业服务器当中,那么将带来严重损失。 对此,阿里云...
勒索病毒专杀工具
04-13
这是一个勒索病毒 wannacry 专杀工具,去年客户中招了不少,都是用这个工具进行查杀的。
预警!VMware ESXi服务器遭大规模勒索攻击,已有数千系统中招!科力锐提供勒索病毒拦截&应急恢复体系化解决方案
weixin_74412513的博客
03-01 804
安全大数据公司Censys对勒索信息进行了检索和披露,显示欧洲和北美已有数千台服务器遭到破坏。奥地利计算机安全应急响应小组在周一也发出警告,称“至少有3762个系统”受到了影响。据悉,意大利、法国、芬兰、美国、加拿大等国均遭到攻击,意大利电信公司出现大规模互联网中断,国内已受影响服务器也有数十台左右。多国网络安全组织机构已对此发出警告!
2023年中国企业勒索病毒攻击态势分析报告
02-01
出了 206 起造成重大破坏或严重损失的勒索病毒攻击典型事件的应急响应分析报告为研究 样本,分别从行业特征、攻击溯源、感染范围、病毒类型、攻击时长、攻击方式等方面展开 深度分析,并首次给出了勒索病毒攻击的...
office文档病毒分析整体思路
qq_45844442的博客
11-14 1582
1.打开office文档时,看看加载页面是否有相关下载连接服务器等字眼,如果出现则说明利用的远程注入,直接以压缩包方式打开文档到/word/_rels/settings.xml.rels 这个文件中查看相应的连接地址。2.进入文档后看看是否有提示说启用宏或者启用应用程序等字眼,有该提示说明有宏文件或者DDE命令,直接去宏编辑器查看宏命令,将。5.对于VBA工程锁定不可查看这种情况,可以试着使用EvilClippy工具进行解除锁定,命令如下。打开即可在文档页面查看到该DDE命令。
office病毒分析从0到1
abelxu
06-28 2156
一、office文件格式 office文件格式根据版本可以分为Office2007之前的版本和Office2007之后的版本。 Office2007之前的版本为OLE复合格式:doc,dot,xls,xlt,pot,ppt Office2007之后的版本为OpenXML格式:docx,docm,dotx,xlsx,xlsm,xltx,potx 1.OLE复合格式(Object Linking and Embedding Data Structures) 复合文档不仅包含文本,而且包括图形、电子数据表格、声音
疯狂的病毒USP10.DLL 如同噩梦般 杀软完全失效!!!!
wx332810001的专栏
08-01 3743
最近听说一个非常NB的病毒USP10.DLL,我也中了这个病毒(*^__^*)不用急!!!         我给大家介绍下吧:usp10.dll其实是一个系统文件文件路径是: C:/WINDOWS/system32 / usp10.dll ,但是如果这个文件出现在其他地方便是病毒了,而且非常可怕!!!         分析一下病毒原理:usp10.dll病毒是利用window系统目录优先
090717二次完善 批量修复被病毒破坏的word文档
weixin_34077371的博客
07-16 125
今天一个网友找到了我,说他接到一个U盘,里面的word文档都被病毒破坏了,因为他是数据恢复商,自己也会点,说如果一个一个修改很麻烦问我有没有什么好办法,经过我刚才回家吃饭的时候想到了方法,速度还是非常快得,不用人工干预,一万个文件 也就几分钟就搞定了。 被破坏的文件 修复的文件 2009 07 17 早: ...
中了 usp10.dll 猫癣(犇牛)病毒! 简易解的决方案!
cihren的专栏
03-18 1718
 中了猫癣,usp10.dll !  中毒现象:1. 打开任务管理器看有些奇怪进程:    2.杀毒软件无法启动或老是自动关闭.  3.搜索”usp10.dll”整个硬盘,看见有很多这个隐藏文件:   4. C:/Documents and Settings/(你的windows用户名)/Local Setting
网络安全之认识勒索病毒
学而思(xiejava的blog)
03-23 5196
勒索病毒,是一种新型电脑病毒,伴随数字货币兴起,主要以邮件、程序木马、网页挂马、服务器入侵、捆绑软件等多种形式进行传播,一旦感染将给用户带来无法估量的损失。如果遭受勒索病毒攻击,将会使绝大多数文件被加密算法加密,并添加一个特殊的后缀,用户无法读取原文件内容,被感染者一般无法解密,必须拿到解密的私钥才有可能无损还原被加密文件。而拿到解密的私钥,通常需要向攻击者支付高昂的赎金,这些赎金必须是通过数字货币支付,一般无法溯源,因此极易造成严重损失。
对伪装docx文件病毒的逆向分析
weixin_56537764的博客
04-06 890
一、病毒文件的基本信息分析 1 病毒文件具体展示 病毒文件用的资源图标是wps的图标,以此让大家误认为是docx文件,最终是为了诱导大家点击打开病毒文件。 2 病毒信息具体提示 打开解压病毒文件以及打开病毒文件就会被杀毒软件提示是恶意软件,它属于trojan.generic病毒。 3 trojan.generic病毒的定义信息 trojan.generic它是计算机木马名称,启动后会从体内资源部分释放出病毒文件,有些在WINDOWS下的木马程序会绑定一个文件,将病毒程序和正常的应用程序捆绑成一个程序,释
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值