表面是文檔實為勒索病毒 金山毒霸截獲勒索病毒傳播新路徑

　　lnk擴(kuò)展名的文件，在電腦桌面會默認(rèn)顯示為快捷方式。而使用文檔圖標(biāo)的快捷方式，給人的感覺是雙擊會打開一個文檔，而實際卻潛伏危機(jī)。金山毒霸安全實驗室本周就截獲這樣一個具有高度欺騙性的勒索病毒，該病毒會偽裝成某文檔的快捷方式，雙擊這個快捷方式圖標(biāo)，卻會下載一個真正的破壞性的病毒。

　　圖1精心偽裝成文檔快捷方式的應(yīng)用程序

　　金山毒霸安全實驗室發(fā)現(xiàn)的這款勒索病毒，會偽裝成文檔lnk文件(快捷方式)圖標(biāo)，通過電子郵件附件傳播。當(dāng)用戶以為這是郵件附件，點擊打開這個lnk文件時，病毒就會調(diào)用windows系統(tǒng)自帶的mshta.exe程序去訪問惡意網(wǎng)址下載執(zhí)行惡意程序。

　　經(jīng)金山毒霸安全研究員分析發(fā)現(xiàn)，該病毒訪問的惡意網(wǎng)址是一個VBS腳本文件，它會自動下載另一個惡意js腳本。經(jīng)過多次跳轉(zhuǎn)后，js腳本會被執(zhí)行，接下來會釋放真正的勒索病毒執(zhí)行程序，從而加密硬盤上的所有文檔。

　　圖2病毒下載的JS腳本程序

　　金山毒霸的防御體系可完美防御病毒的這種傳播方式，即使這是個全新的病毒，行為攔截也能阻止此類lnk勒索病毒傳播。

　　如果沒有開啟殺毒軟件的防御功能，雙擊郵件中的lnk附件，就會不幸運行勒索病毒，導(dǎo)致硬盤文件被加密，沒有備份的情況下，中毒后的損失就難以彌補(bǔ)。安全專家建議網(wǎng)民開啟殺毒軟件的自動防護(hù)功能，可以最大限度減少中毒的情況發(fā)生。