随着攻防技术的不断升级，一些传统的攻击方式正在一点一点的消失，而我们在最近发现了一些比较新奇的钓鱼邮件，用于分发勒索软件和银行木马，现在我们对这两种钓鱼方法进行分析

1、通过PDF恶意软件分发Locky勒索软件

近日，我们发现一种通过PDF恶意软件分发Locky勒索软件的，现在通过PDF作为钓鱼还是比较少见，我们来看看是如何进行钓鱼的

<table> 样本MD5 d4690177c76b5e86fbd9d6b8e8ee23ed                                           </table>

我们打开这个样本会发现提示你下载一个word文档，并打开

我们看看pdf的文件内部，我们可以看见内嵌了一个对象，这个对象正是要下载的Word文档

我们来看看这个文档下载到那里，我们看到一段js代码，这段代码就是通过重命名文档名，并提示用户打开

当我们打开文档后，会发现是一个传统的带有宏病毒的word文档

而宏病毒的主要作用就是从网络上下载勒索软件进行分发，为了对抗一些杀毒软件，还将关键词放在窗口中

我们来分发勒索软件的网址

easysupport.us/f87346b

2、通过OLE对象进行钓鱼

打开文档，会发现一段日文提示你双击

我们右键点击属性看看这个对象是什么

可以看到是个js脚本，我们用记事本打开这个js脚本

可以发现是段编码的js脚本

这段js的主要作用是下载一个银行木马，我们看下网络分析

主要从wersy.net/dew.de  这个网址下载，并执行

3、用户如何防止钓鱼软件

​     对于邮件，大家一定要细心，要仔细查看一下发件人，是否是可疑的，对与可疑的，一定要谨慎打开里面的邮件，个人建议在现在钓鱼攻击愈演愈烈的情况下，建立一个虚拟机，将自己不确定是否为可疑的附件，放到虚拟机中打开查看。

建议大家打开文件后缀名，这样在附件中看到 exe和js和hta后缀的要格外小心，对于zip和rar文件要查看里面的文件是否可疑，如果可疑，请不要解压打开

   大家在看到下面字样的，提示的启动宏的时候，一定要格外小心，如果你不是专业人士，请不要点击启用内容，这种带宏的邮件，多半是攻击邮件。

   对于office宏没有使用的用户，建议关闭宏，如下图所示，在信用中心中，禁用所有宏，并且不通知。