光挡.js副档名己无法防御 勒索病毒再进化

2016/10/24 - 陈芃菁

中华数码与ASRC研究中心发现勒索病毒的新变形，攻击者同样使用Javascript做为勒索病毒的前导程序，只是将恶意的Javascript放在.hta档中，藉以躲避.js档过滤条件的侦测！

上一波Locky勒索病毒大量使用了.js档做为感染的前导，而.js能被Windows执行，是因为Windows操作系统缺省启用了Windows Script Host服务。面对这样的攻击，各方专家都提出了拦截.js副档名或关闭Windows Script Host服务等防范办法。

不过中华数码与ASRC研究中心发现勒索病毒新变形，攻击者同样使用Javascript做为勒索病毒的前导程序，只是将恶意的Javascript放在.hta档中。由于Windows操作系统中，点击.hta档缺省会呼叫Microsoft Internet Explorer起来执行，这一举直接突破了拦截.js副档名的过滤条件或关闭Windows Script Host服务等防范办法。

中华数码SPAM SQR面对这类型的攻击，并非单纯以拦截.js副档名的方式防御。 SPAM SQR挂载多重威胁防御引擎，除可外挂防毒引擎抵抗已知病毒邮件外，内建的恶意档案分析引擎，可层层分析附件档案，让此样本出现的第一时间原形毕露。已使用SPAM SQR的客户请注意定期更新系统以及特徵，以达到最佳防御效果。