光擋.js副檔名己無法防禦 勒索病毒再進化

中華數位與ASRC研究中心發現勒索病毒的新變形，攻擊者同樣使用Javascript做為勒索病毒的前導程式，只是將惡意的Javascript放在.hta檔中，藉以躲避.js檔過濾條件的偵測！

上一波Locky勒索病毒大量使用了.js檔做為感染的前導，而.js能被Windows執行，是因為Windows作業系統預設啟用了Windows Script Host服務。面對這樣的攻擊，各方專家都提出了攔截.js副檔名或關閉Windows Script Host服務等防範辦法。

不過中華數位與ASRC研究中心發現勒索病毒新變形，攻擊者同樣使用Javascript做為勒索病毒的前導程式，只是將惡意的Javascript放在.hta檔中。由於Windows作業系統中，點擊.hta檔預設會呼叫Microsoft Internet Explorer起來執行，這一舉直接突破了攔截.js副檔名的過濾條件或關閉Windows Script Host服務等防範辦法。

中華數位SPAM SQR面對這類型的攻擊，並非單純以攔截.js副檔名的方式防禦。 SPAM SQR掛載多重威脅防禦引擎，除可外掛防毒引擎抵抗已知病毒郵件外，內建的惡意檔案分析引擎，可層層分析附件檔案，讓此樣本出現的第一時間原形畢露。已使用SPAM SQR的客戶請注意定期更新系統以及特徵，以達到最佳防禦效果。