网络资安厂商趋势科技提醒消费者,使用 Gogole Chrome 浏览器如果弹出“找不到字型”视窗,别急着按更新,小心可能是勒索病毒假冒的。
趋势科技发现,2 月肆虐的勒索病毒家族 SPORA 出现新的变种 SPORA v2(RANSOM_SPORA.F117C2),在浏览网页时会出现“找不到字型”的小视窗,背景网页的字体变成乱码,故布疑阵让受害者因惊慌而按下“更新”,掉入勒索病毒陷阱。
最近新的版本增加了蠕虫能力。SPORA v2 感染系统的方式是靠使用者点选 Google Chrome 浏览器的弹出视窗,该视窗请使用者更新 Chrome 字型套件以显示“HoeflerText”字型。当使用者点选了弹出视窗,就会下载一个伪装成正常档案的恶意程式。一旦恶意程式执行,电脑即遭到感染。
趋势科技表示,此一新的 SPORA 变种会将自己复制到硬盘、随身碟及网络共用资料夹。此外,还会搜寻每个磁盘与网络资料夹下的第一层目录。第二版 SPORA 也和第一版一样,会将系统登录值“HKLM\Software\Classes\lnkfile IsShortcut”删除,让资料夹捷径右下角的小箭头不见,如此一来使用者会以为其捷径档案是一个资料夹。
SPORA v2 与旧版的另一个差异是其 RSA 金钥(RSAPrivKey2)现在已直接内含在勒索讯息档中,并非一个分开的档案。一旦 SPORA v2 开始执行,就会使用 RSA-1024 算法将系统上的影像档和 Microsoft Office 文件加密。不过在加密之后,该病毒并不会修改副档名。
趋势科技说,加密完成之后,SPORA v2 将显示勒索讯息,该讯息的档案名称随电脑而异,格式为:XXOOO-AAAAA-BBBBB-CCCCC-DDDDD.html,开头两个字元(XX)是二位数字国码。其余的字元是随机产生的编号,每个受害者皆不同。
(记者:吴家豪)
