1、基本情况
Criakl勒索病毒出现变种Ransom.Criakl。攻击者利用钓鱼邮件传播一个zip后缀的附件,该附件解压后是一个包含宏病毒的word文件,一旦启用word宏的用户打开此文件,在文件关闭时将自动下载并运行勒索病毒,对电脑所有文件进行加密,并要求通过邮件获取解密密钥,还原加密文件。
该病毒的宏内容随机变化,无固定特征可匹配,
2、攻击原理
该病毒传播行为如下所示:
1) 攻击者通过钓鱼邮件传播病毒下载器,诱导用户下载打开附件。
3)获取系统路径。
4)获取系统temp路径
5)运行下载的病毒。
6)病毒下载抓包截图。
3、影响范围
启用了宏的Microsoft Office Word 。
4、处置建议
1)升级杀毒软件病毒库至最新版本;
2)不要点击来源不明的邮件附件;
3)不要启用office宏功能;
4)定期备份电脑中的重要文件资料到移动硬盘或U盘上。