Chrome 彈出「找不到字型」視窗,別急著按更新,勒索病毒假冒的 !

Protection.jpg

Chrome 彈出「找不到字型」視窗,別急著按更新,勒索病毒假冒的 !

如果上網突然出現亂碼,並彈出更新通知,要當心不要急著按更新或下載鍵。

二月肆虐的勒索病毒家族 SPORA 出現新的變種,

SPORA v2 ( RANSOM_SPORA.F117C2)在瀏覽網頁時會出現「找不到字型」的小視窗,

背景網頁的字體亦變成亂碼,故佈疑陣讓受害者因驚慌而按下「更新」,

掉入勒索病毒陷阱。

最近新的版本增加了蠕蟲能力。

 

SPORA v2 感染系統的方式是靠使用者點選 Google Chrome 瀏覽器的彈出視窗,

該視窗請使用者更新 Chrome 字型套件以顯示「HoeflerText」字型。

當使用者點選了彈出視窗,就會下載一個偽裝成正常檔案的惡意程式。

一旦惡意程式執行,電腦即遭到感染。

 

spora-v2-popup.png

  ※佯稱請使用者更新 Chrome 字型套件的彈出視窗

此一新的 SPORA 變種會將自己複製到硬碟、隨身碟及網路共用資料夾。

此外,還會搜尋每個磁碟與網路資料夾下的第一層目錄。第二版的 SPORA 也和第一版一樣,

會將系統登錄值「HKLM\Software\Classes\lnkfile IsShortcut」刪除,

讓資料夾捷徑右下角的小箭頭不見,如此一來使用者會以為其捷徑檔案是一個資料夾。

SPORA v2 與舊版的另一個差異是其 RSA 金鑰 (RSAPrivKey2) 現在已直接內含在勒索訊息檔中,

並非一個分開的檔案。一旦 SPORA v2 開始執行,

就會使用 RSA-1024 演算法將系統上的影像檔和 Microsoft Office 文件加密。

不過在加密之後,該病毒並不會修改副檔名。

 

加密完成之後,SPORA v2 將顯示勒索訊息,該訊息的檔案名稱隨電腦而異,格式為: 

XXOOO-AAAAA-BBBBB-CCCCC-DDDDD.html,開頭兩個字元 (XX) 是二位數字國碼。

其餘的字元是隨機產生的編號,每個受害者皆不同。

 

spora-v2-1.png

※SPORA v2 勒索訊息

 

 

同場加映:

GC47(Ransom_HiddenTearGCFS.A):

顯示假的 Windows 升級視窗, 被加密檔案副檔名還改為髒話

 

GC47(Ransom_HiddenTearGCFS.A)有異曲同工之妙,

它會顯示一個假的 Windows 升級視窗來誘騙使用者下載惡意程式。

一旦使用者點選了「OK」按鈕, 就會開始執行加密程序。

被加密的檔案包括文件、多媒體檔、影像檔等等,

並且檔名末端會多了「.Fxck_You」副檔名。

歹徒在勒索訊息中要求支付50美元的檔案解鎖費用(約0.004比特幣)。

 

資料來源: 趨勢科技 Trend Micro https://blog.trendmicro.com.tw/?p=49031

創作者介紹

JJ隨手記

王俊傑 發表在 痞客邦 PIXNET 留言(0) 人氣()