在我们的Q1 2017策略和技巧报告,我们提到锁定的赎金软件神秘地消失了。实际上,有一段时间,它完全消失了,允许CITBER将一个人的头号作为最具分布式的作品勒索制造器(和此事项的恶意软件)。

但是,控制Necurs Botnet的组刚刚打开了垃圾邮件泛曲线,并在进入周末之前抽出伪造的锁定勒索沃特沃特的假文件。

PDF到Word宏

这款勒索软件的发布遵循的是我们最近看到的Dridex发布方式,即在PDF文件中嵌入Word文档。

虽然这似乎是不必要的额外步骤,但它实际上允许绕过沙箱。用户单击“确定”按钮后,将显示流氓Word文档:

最后一步需要一些社交工程来执行一个可恶意宏,这些宏将下载实际的锁定ransomware。

个人文件是用.osiris.延期和骗子正在询问0.5比特币(写作时623美元)恢复它们。

保护

这种攻击依赖于用户打开看似合法的恶意附件。许多研究表明,用户往往是攻击链中最薄弱的一环,罪犯对此心知肚明。

必威平台APP在不同的层面保护对这种攻击,包括宏和勒索软件缓解,这些都不需要任何签名更新。