网络安全公司vira研究人员近期发现勒索软件 Locky出现新型变种，不仅可以通过僵尸网络Necurs开展大规模钓鱼攻击活动，还可利用动态数据交换(DDE)协议进行数据传输，从而规避安全软件检测的同时窃取用户重要信息。

研究显示，目前黑客主要通过合法的 Libre 与 Office 文件肆意分发恶意软件。一旦用户打开该恶意文件后系统将会自动触发一系列程序，从而最终在受害设备上对用户文件进行加密处理后发送到指定 C&C 服务器。研究人员在分析该恶意文件时还发现其中包含一份 LNK 文档，允许黑客通过粘贴的方式将命令复制到用户文本编辑器中，以便运行 PowerShell 脚本。

研究人员表示，该脚本内容清晰、极易阅读，其目的是从脚本嵌入的链接中下载另一个 PowerShell 脚本并通过 Invoke-Expression 函数运行。然而，第二个脚本所连接的服务器由黑客控制，并在下载该脚本时自动运行一份 Windows 可执行文件，其中包含多个阶段的混淆代码，以致诱导用户认为这是一个安全的文件。目前，研究人员认为勒索软件 Locky 的快速演变在当今的威胁领域中着实令人担忧，因为它还将继续进行深度 “优化”，从而感染更多设备。