国家计算机病毒应急处理中心

病毒预报第六百八十五期（2016.5.13-2016.5.19）

国家计算机病毒应急处理中心通过对互联网的监测发现，一种针对中文版Word的恶意程序出现。该恶意程序通过发送电子邮件附件等社会工程学的方式进行传播，诱使计算机用户点击运行。

我们分析发现，该恶意程序会利用中文版Word宏代码来下载勒索软件，进而入侵感染计算机操作系统中的Word文档（其后缀名为.rtf）。如果计算机用户点击执行宏指令，那么操作系统会在后台自动连接互联网中不同的服务器下载勒索软件后执行。随后，受感染操作系统中的文件被勒索软件进行加密，无法正常打开。

另外，勒索软件完成加密后，会在操作系统中出现中文提示信息，要求受感染的用户访问指定的Web网站支付一定的比特币（电子货币），系统中加密的文件才可以被解锁。

专家提醒：

针对这种情况，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：

（一）如果收到的陌生发件人的电子邮件要谨慎打开，特别是不要轻易打开其中的附件。

（二）操作系统默认的office文档中的宏是禁止的，当打开一个文档时，一定要确认文档中的宏是安全之后，才可以开启宏功能，切莫盲目打开宏功能。

（三）建议打开操作系统中防病毒软件的“实时监控”功能，对操作操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动。

联系方式：
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心