如果你收到的邮件假扮成某公司的发票单，包含 Word 附件，在打开它之前应当三思而后行。

如果打开，可能会使你的系统瘫痪，导致灾难性的破坏。目前认为，黑客有可能事先入侵网站，利用社会工程学，设置吸引眼球的骚扰邮件标题，吸引受害者在系统上安装致命的软件 Locky 。

如果你在自己的网盘文件中发现了 .locky 扩展名，恭喜！你被感染了，而且只剩下两个选择：从零开始重建 PC 系统，或者交出赎金。

Locky 勒索软件正以每小时4000个新感染的速度传播，这等于每天传染十万个新受害者。

微软宏回来了

到了2016年，很难想象还会存在仅通过 MS Word 文件宏，轻松感染受害者系统的情况。

不管怎样，黑客使用的黑客方法值得钦佩。

Locky 恶意软件通过微软365和 Outlook 电子邮件附件传播。传播的 Word 文档中内嵌了恶意的宏函数。

宏最开始出现于上个世纪九十年代。你肯定很熟悉这样的信息：“警告：该文档包含宏”。

现在，宏又回来了。网络罪犯们找到了让用户打开微软 Office 文档的信访室，特别是能够让宏自动运行的 Word 文件。

工作原理

在用户打开恶意 Word 文档后，doc 文件就被下载到了系统上。当用户打开这一文件，会发现内容混乱，弹出“打开宏”警告窗口。这时候，真正的危险就出现了。

• 一旦受害者启用恶意宏，他就会从远程服务器上下载一个可执行文件并运行；

• 这一可执行文件就是 Locky 勒索软件，一旦它运行，就会开始加密计算机和网络上的所有文件。

Locky 勒索软件会影响几乎所有文件类型，并将它们的扩展名替换成 .locky 。

加密完成后，勒索软件将弹出一条信息，引导被感染的受害者下载 TOR 浏览器，访问攻击者的网站获取后续指令，完成支付。

要想拿到解密密钥， Locky 恶意软件将要求受害者支付0.5至2比特币（约208到800美元）。 Locky 有一个有趣的特点，它支持多语言，这有助于其将支付赎金者的边界拓展至英语区以外，制造更多受害者。

Locky 甚至会加密你在互联网上存储的备份文件

这种新型的勒索软件也可以加密你在互联网上存储的备份文件。所以，你应当将敏感和重要的文件存储在第三方作为备份，以避免可能出现的恶意软件感染。

BleepingComputer 公司的研究人员凯文·博蒙特（Kevin Beaumont）和拉里·亚布拉罕（Larry Abrahms）首次发现了 Locky 勒索病毒的存在。

为了确定 Locky 产生的冲击，昨天，凯文成功截获了 Locky 的传输信息，发现这一勒索软件正在公网快速传播。

我估计，每天有超过10万个新的端点受到 Locky 感染，这绝对属于一次大规模网络安全事件：只要三天，就会有大约25万台 PC 遭到感染。

一小时内的感染数据统计

受到影响最大的国家有：德国、荷兰、美国、克罗地亚、马里、沙特、墨西哥、波兰、阿根廷、塞尔维亚。