安全研究员Yves Agostini在上周日通过Twitter指出，他发现了一场正在进行中的垃圾电子邮件活动。这些垃圾电子邮件伪装成未付款的发票，当被收件人打开时，它们会将Hermes勒索软件（2.1版本）和AZORult间谍软件安装到收件人的计算机上。

通过下面这个示例我们可以看到，电子邮件的主题为“Invoice Due（发票到期）”，并带有一个名为“Invoice.doc”的Word文档附件。

在打开附件时，你会发现它是受密码保护的。研究人员表示，这样做的目的是为了使防病毒软件更加难以将其检测为恶意文件。我们可以看到，密码被包含在电子邮件的正文中。对于本文中的垃圾电子邮件示例而言，Word文档附件的密码是“1234”。

在输入密码并点击确定之后，文档将会显示“Enable Content”提示。对于那些不熟悉这个按钮的用户来说，一旦点击了它，Word将启用宏或其他内嵌的脚本并执行。

对于本示例而言，当你点击了“Enable Content”之后，AZORult间谍软件（azo.exe）首先将会被下载并执行，然后它会下载并执行Hermes 2.1勒索软件（hrms.exe）。

Hermes 2.1勒索软件将加密计算机上的文件，但它并不会对文件名进行修改。因此，你能够知道自己已经被感染的唯一方法就是找到名为“DECRYPT_INFORMATION.html”的赎金票据，如下所示。

根据相关的报告显示，勒索软件的传播量在今年有着明显的下降，它的主导地位正在被银行木马、加密货币挖掘软件等其他一些类型的恶意软件所取代，但这并不表示它已经被淘汰。事实证明，只要有利可图，网络犯罪分子就不会放过任何一种能够获利的手段。

与以往的建议一样，我们每个人都应当警惕虚假发票或其他未知附件。此外，永远不要轻易打开任何附件，除非你已经与发件人取得了电话联系并确认电子邮件的确是对方发送给你的。否则，你极有可能会在随意的一次鼠标点击之后成为某种恶意软件的受害者。

扫一扫或点击进入“上海奥航智能科技有限公司”官网：www.aohsmart.com                                扫一扫或点击进入“中国移动安全信息网”：cn-mobi.com              

免责声明：本文仅代表作者个人观点，与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。