Buran勒索病毒首次出现在2019年5月，是一款新型的基于RaaS模式进行传播的新型勒索病毒，在一个著名的俄罗斯论坛中进行销售，与其他基于RaaS勒索病毒(如GandCrab)获得30%-40%的收入不同，Buran勒索病毒的作者仅占感染产生的25%的收入,安全研究人员认为Buran是Jumper勒索病毒的变种样本，同时VegaLocker勒索病毒是该家族最初的起源，由于其丰厚的利润，使其迅速开始在全球范围内传播感染，Buran勒索病毒此前使用RIG Exploit Kit漏洞利用工具包进行传播，其利用了Internet Explorer的一个比较严重的漏洞CVE-2018-8174，近期国外研究人员监控到一例通过垃圾邮件附带Microsoft Excel Web查询文件传播Buran勒索病毒的最新样本。

获取到的垃圾邮件，如下所示：

附件中带有一个iqy文件，内容如下所示：

该附件文档是一个IQY文件，当打开该文件时将执行Web查询或远程命令，该命令由使用PowerShell安装Buran Ransomware的远程服务器给出，如下所示：

PowerShell脚本从远程下载恶意程序，相应的URL地址：

hxxp://ocean-v.com/wp-content/1.exe，通过分析发现此程序为Buran勒索病毒，此勒索提示信息，如下所示：

对于不熟悉IQY文件的用户，它们是Excel Web Query文档，打开后将尝试使用外部源将数据导入工作表中。例如，如下所示，附加的IQY文件只是一个文本文件，指定其数据将来自Web并从列出的URL中检索

像恶意宏一样，用户首先需要启用数据源，但是正如我们在其他垃圾邮件活动中看到的那样，太多的人盲目地单击“启用”按钮，如下所示：

这不是我们第一次看到利用IQY文件安装恶意软件的恶意电子邮件活动。

在2018年，我们还看到Web查询被用于安装RAT，例如AMMYY Admin程序以及Necurs活动中的Marap和Quant Loader恶意软件。

由于它们具有在受害者计算机上执行几乎所有命令的能力，因此Microsoft通过Web上的Outlook阻止了IQY文件，并使得可以通过组策略在Windows中阻止不受信任的Microsoft Query IQY文件。

用户还可以通过在Excel中执行以下命令来自行阻止IQY文件，而无需管理员的帮助：

参考链接：

https://www.bleepingcomputer.com/news/security/buran-ransomware-infects-pcs-via-microsoft-excel-web-queries/

针对企业的勒索病毒攻击越来越多了，具有很强的针对性，攻击手法也是多种多样，旧的勒索病毒不断变种，新型的勒索病毒又不断出现，全球每天都有勒索病毒的变种被发现，同时每天都有不同的企业被勒索病毒攻击，真的是数不甚数，随着BTC等虚拟货币的流行，未来勒索病毒的攻击还会持续增多，而且后面可能会慢慢转向针对不同的平台进行攻击，勒索病毒已经成为了全球网络安全最大的威胁。