恶意软件CryptoWall 通过Windows help文件(.chm)感染用户电脑

黑客使用.chm附件对毫无防备的用户执行恶意代码。

一个新的垃圾邮件通过.chm 附件恶意袭击了数百邮箱，来传播一个无耻的CryptoWall勒索软件, 这个恶意软件由Bitdefender Labs发现。

有趣的是，黑客已经采取一种简洁的“时尚”。但是是一个非常有效的技巧，在受害者的机器上自动执行恶意软件，并加密软件的内容——恶意的.chm附件。

.Chm是HTML文件格式的扩展, 一种用于提供用户手册和软件应用程序的文件。HTML 文件是压缩文件，作为一个二进制文件传递给.CHM扩展。这个格式为压缩的HTML文件，图像和JavaScript文件，以及一个超链接的目录，索引和全文检索。

为什么帮助文件很危险?

这些 .chm文件是高级互动和运行的一系列技术, 包括JavaScript，用户只需打开.CHM文件，它就可以重定向到一个外部链接。一旦这个文件被访问，攻击者利用.chm文件自动运行恶意代码。它看起来非常完美：非常少量的用户交互，是其感染的机会更大。

伪造来自用户所在域的传真报告或电子邮件，使目标员工相信这些不同来源的邮件，进而使攻击者渗透公司到内网。

一旦该.chm内容被访问，恶意软件将从http://*********/putty.exe位置下载，并保存为%temp%\natmasla2.exe，然后通过该进程中的一个命令提示符窗口执行该恶意软件。

CryptoWall是 CryptoLocker的高级版本, 一个文件加密勒索软件，以伪装自己的病毒代码为一个无害的应用或文件著称，他的恶意代码可以加密受影响电脑的文件，为了勒索钱财来换取解密密钥。

勒索软件是一个非常可怕的恶意软件,尤其是对证券公司来说，公司要被迫创造出更复杂的算法来确保内部数据的私密性。

电子邮件风波在2月18号爆发，针对几百个目标用户，垃圾邮件服务器似乎是在越南，印度，澳大利亚，美国，罗马尼亚，西班牙。在我们分析收件人的域名后，发现它似乎像是在袭击世界各地的用户，包括美国，欧洲，和澳大利亚。

Bitdefender（比特梵德/BitDefender（简称BD)，是来自罗马尼亚的安全软件品牌。） 检测这个恶意软件为 Trojan.GenericKD.2170937.

如何防止感染CryptoWall

BitDefender的研究人员建立了一个防止cryptowall感染的提示列表，包括建立外部实体的数据备份等安全建议， Bitdefender还开发了CryptoWall Immunizer, 一个允许用户在锁定或加密任何文件之前取消而的工具。Bitdefender建议用户继续保持他们的防病毒解决方案，并可以使用这个工具作为一个额外的保护。