表面是文檔實(shí)為勒索病毒 金山毒霸截獲勒索病毒傳播新路徑

lnk擴(kuò)展名的文件，在電腦桌面會(huì)默認(rèn)顯示為快捷方式。而使用文檔圖標(biāo)的快捷方式，給人的感覺(jué)是雙擊會(huì)打開(kāi)一個(gè)文檔，而實(shí)際卻潛伏危機(jī)。金山毒霸安全實(shí)驗(yàn)室本周就截獲這樣一個(gè)具有高度欺騙性的勒索病毒，該病毒會(huì)偽裝成某文檔的快捷方式，雙擊這個(gè)快捷方式圖標(biāo)，卻會(huì)下載一個(gè)真正的破壞性的病毒。

圖1 精心偽裝成文檔快捷方式的應(yīng)用程序

金山毒霸安全實(shí)驗(yàn)室發(fā)現(xiàn)的這款勒索病毒，會(huì)偽裝成文檔lnk文件(快捷方式)圖標(biāo)，通過(guò)電子郵件附件傳播。當(dāng)用戶以為這是郵件附件，點(diǎn)擊打開(kāi)這個(gè)lnk文件時(shí)，病毒就會(huì)調(diào)用windows系統(tǒng)自帶的mshta.exe程序去訪問(wèn)惡意網(wǎng)址下載執(zhí)行惡意程序。

經(jīng)金山毒霸安全研究員分析發(fā)現(xiàn)，該病毒訪問(wèn)的惡意網(wǎng)址是一個(gè)VBS腳本文件，它會(huì)自動(dòng)下載另一個(gè)惡意js腳本。經(jīng)過(guò)多次跳轉(zhuǎn)后，js腳本會(huì)被執(zhí)行，接下來(lái)會(huì)釋放真正的勒索病毒執(zhí)行程序，從而加密硬盤上的所有文檔。

圖2 病毒下載的JS腳本程序

金山毒霸的防御體系可完美防御病毒的這種傳播方式，即使這是個(gè)全新的病毒，行為攔截也能阻止此類lnk勒索病毒傳播。

如果沒(méi)有開(kāi)啟殺毒軟件的防御功能，雙擊郵件中的lnk附件，就會(huì)不幸運(yùn)行勒索病毒，導(dǎo)致硬盤文件被加密，沒(méi)有備份的情況下，中毒后的損失就難以彌補(bǔ)。安全專家建議網(wǎng)民開(kāi)啟殺毒軟件的自動(dòng)防護(hù)功能，可以最大限度減少中毒的情況發(fā)生。