CryptoWall勒索软件卷土重来.Chm格式帮助文件作盾，

网络诈骗软件近年来层出不穷，而且每当研究人员找到检测方法和防护技术时，它都能快速的找到躲避检测的方法或者进行变种。近日，Bitdefender的安全专家又披露了一种新型勒索软件CryptoWall，攻击者使用了看似安全的.Chm格式帮助文件。

勒索软件CryptoWall

CryptoWall在网络敲诈生态系统中是最为流行的一种勒索软件，也是CryptoLocker的升级版本，一种通过将文件加密来勒索用户的恶意软件。通常，它会伪装成无害的应用程序或者文件。CryptoWall的攻击Payload会加密受害者电脑中的文件，锁住受害者的屏幕，让受害者不得不“支付赎金”来解密。

在2014年2月至8月这6个月中受CryptoWall感染的用户达600000个，收到的赎金约在100万美元左右，攻击者每次索要的金额从100美元到500美元不等。

在最新变种中，攻击者采取了一种低调而有效的方式，在受害人机器上偷偷加密正常文件，并主动执行恶意软件。而这次CryptoWall利用的是.Chm附件。

.Chm文件因何变得危险

.Chm文件格式是HTML文件格式的扩展，它本来是一种用于给软件应用程序作用户手册的特殊文本格式。简单来说，HTML文件格式被压缩和重整以后，就被制成了这种二进制的.Chm扩展文件格式。通常，.Chm文件格式由压缩的HTML文件、图像、Javascript这些文件组合而成，同时，它可能还带有超链接目录、索引以及全文检索功能。

这些.Chm文件有着较多的用户交互，并且采用了一系列的技术。其中包含的Javascript代码自不用多说，它可以在你打开.Chm文件时，直接重定向到一个外部链接。也就是说，用户只要打开一次这类文件，里面包含的恶意代码就可能主动运行。这似乎给人一种感觉，即用户交互更少的时候，感染的机会反而更大。

真实案例分析

下面这份来自内网的传真邮件样本，让我们不得不相信，这些邮件是为了渗透各大公司而特别打造的。