Chrome 彈出「找不到字型」視窗,別急著按更新,勒索病毒假冒的 !
Chrome 彈出「找不到字型」視窗,別急著按更新,勒索病毒假冒的 !
如果上網突然出現亂碼,並彈出更新通知,要當心不要急著按更新或下載鍵。
二月肆虐的勒索病毒家族 SPORA 出現新的變種,
SPORA v2 ( RANSOM_SPORA.F117C2)在瀏覽網頁時會出現「找不到字型」的小視窗,
背景網頁的字體亦變成亂碼,故佈疑陣讓受害者因驚慌而按下「更新」,
掉入勒索病毒陷阱。
最近新的版本增加了蠕蟲能力。
SPORA v2 感染系統的方式是靠使用者點選 Google Chrome 瀏覽器的彈出視窗,
該視窗請使用者更新 Chrome 字型套件以顯示「HoeflerText」字型。
當使用者點選了彈出視窗,就會下載一個偽裝成正常檔案的惡意程式。
一旦惡意程式執行,電腦即遭到感染。
※佯稱請使用者更新 Chrome 字型套件的彈出視窗
此一新的 SPORA 變種會將自己複製到硬碟、隨身碟及網路共用資料夾。
此外,還會搜尋每個磁碟與網路資料夾下的第一層目錄。第二版的 SPORA 也和第一版一樣,
會將系統登錄值「HKLM\Software\Classes\lnkfile IsShortcut」刪除,
讓資料夾捷徑右下角的小箭頭不見,如此一來使用者會以為其捷徑檔案是一個資料夾。
SPORA v2 與舊版的另一個差異是其 RSA 金鑰 (RSAPrivKey2) 現在已直接內含在勒索訊息檔中,
並非一個分開的檔案。一旦 SPORA v2 開始執行,
就會使用 RSA-1024 演算法將系統上的影像檔和 Microsoft Office 文件加密。
不過在加密之後,該病毒並不會修改副檔名。
加密完成之後,SPORA v2 將顯示勒索訊息,該訊息的檔案名稱隨電腦而異,格式為:
XXOOO-AAAAA-BBBBB-CCCCC-DDDDD.html,開頭兩個字元 (XX) 是二位數字國碼。
其餘的字元是隨機產生的編號,每個受害者皆不同。
※SPORA v2 勒索訊息
同場加映:
GC47(Ransom_HiddenTearGCFS.A):
顯示假的 Windows 升級視窗, 被加密檔案副檔名還改為髒話
GC47(Ransom_HiddenTearGCFS.A)有異曲同工之妙,
它會顯示一個假的 Windows 升級視窗來誘騙使用者下載惡意程式。
一旦使用者點選了「OK」按鈕, 就會開始執行加密程序。
被加密的檔案包括文件、多媒體檔、影像檔等等,
並且檔名末端會多了「.Fxck_You」副檔名。
歹徒在勒索訊息中要求支付50美元的檔案解鎖費用(約0.004比特幣)。
留言列表
電腦相關 (3)
