光擋.js副檔名己無法防禦 勒索病毒再進化 智慧應用 影音
蔡司
參數科技

光擋.js副檔名己無法防禦 勒索病毒再進化

  • 陳芃菁台北

中華數位與ASRC研究中心發現勒索病毒的新變形,攻擊者同樣使用Javascript做為勒索病毒的前導程式,只是將惡意的Javascript放在.hta檔中,藉以躲避.js檔過濾條件的偵測!

上一波Locky勒索病毒大量使用了.js檔做為感染的前導,而.js能被Windows執行,是因為Windows作業系統預設啟用了Windows Script Host服務。面對這樣的攻擊,各方專家都提出了攔截.js副檔名或關閉Windows Script Host服務等防範辦法。

不過中華數位與ASRC研究中心發現勒索病毒新變形,攻擊者同樣使用Javascript做為勒索病毒的前導程式,只是將惡意的Javascript放在.hta檔中。由於Windows作業系統中,點擊.hta檔預設會呼叫Microsoft Internet Explorer起來執行,這一舉直接突破了攔截.js副檔名的過濾條件或關閉Windows Script Host服務等防範辦法。

中華數位SPAM SQR面對這類型的攻擊,並非單純以攔截.js副檔名的方式防禦。 SPAM SQR掛載多重威脅防禦引擎,除可外掛防毒引擎抵抗已知病毒郵件外,內建的惡意檔案分析引擎,可層層分析附件檔案,讓此樣本出現的第一時間原形畢露。已使用SPAM SQR的客戶請注意定期更新系統以及特徵,以達到最佳防禦效果。