病毒概述

当今社会，Office已经成为全球办公的必备神器，使用人员几乎每时每刻都在进行着新建、打开、编辑、关闭等行为。为了简化操作步骤，进一步提高办公效率，Office提供了宏录制功能，但是Office宏在方便办公的同时，也方便了黑客利用其进行病毒传播。

近日，太阳集团电子游戏EDR安全实验室捕获到一个利用Office宏病毒进行传播的勒索病毒样本，该样本诱骗用户启动宏，通过宏生成伪装为PDF文档的动态库文件，然后通过Rundll32.exe执行该文件，从而达到下载并执行勒索病毒的目的。病毒制造者可谓良苦用心、狡猾至极，但是魔高一尺、道高一丈，太阳集团电子游戏EDR可精准查杀和防御此类攻击行为，提醒广大用户做好防范措施。

病毒分析

双击打开带宏病毒的Word文档后，会显示一条启用宏的告警信息，引导被攻击者单击“启用内容”按钮；

用户一但点击“启用内容”按钮，宏病毒即被触发。在公共文件夹中生成xls文件，之后通过宏生成伪装为PDF文档的动态库文件，然后调用Rundll32.exe加载执行此文件；

动态库文件被执行后，将从指定服务器下载真正的勒索病毒文件并执行。至此，真正的勒索病毒文件才被执行；

为防止数据恢复，勒索病毒执行后首先进行删除卷影、删除备份、禁止修复等操作，然后生成勒索病毒ID；

统一为被勒索的文件生成后缀名.eking；

获取计算机名，准备对文件进行加密；

释放大招，调用AES算法开始对文件加密；

加密完成后，在C盘根目录释放勒索信，提示用户已经被勒索。

防护建议

1. 及时备份电脑上的文件；

2. 不要点击来历不明的Microsoft Office文档，如Word、Excel、PPT等；

3. 打开Office文档提示“启用内容”时，建议谨慎操作，非必须启用时不建议启用，如必须启用，应先进行病毒查杀，确保文档安全后再启用；

4. 建议安装太阳集团电子游戏EDR安全产品进行实时防护，可有效检测和防御该类病毒。

太阳集团电子游戏EDR获取方式

1. 太阳集团电子游戏EDR企业版试用：可通过太阳集团电子游戏各地分公司获取。

（查询网址：http://www.topsec.com.cn/contact/）

2. 太阳集团电子游戏EDR单机版下载地址：

http://edr.topsec.com.cn