千萬別更新!瀏覽器顯示「找不到字體」其實是勒索病毒
▲Google Chrome瀏覽器彈出「找不到字型」視窗,可能是勒索病毒。(圖/翻攝自趨勢科技部落格)
生活中心/綜合報導 2017.04.15 / 11:50
電腦病毒再升級!網路資安廠商趨勢科技提醒消費者,若民眾在使用Google Chrome瀏覽器時跳出「找不到字體」視窗,很有可能是勒索病毒假冒,若在慌忙中按下更新則會掉入陷阱。
趨勢科技表示,勒索病毒家族SPORA在今年2月時出現變種SPORA v2(RANSOM_SPORA.F117C2),瀏覽網頁時出現「找不到字體」小視窗,將背景網頁字體變成亂碼。新一版變種更增加蠕蟲能力,靠使用者點選Google Chrome瀏覽器的彈出視窗,請使用者更新Chrome字型套件以顯示「HoeflerText」字型,待使用者點選後即會下載一個偽裝成正常檔案的惡意程式,若經執行將使電腦受到感染。
除此之外,趨勢科技說新版變種會將自己複製到硬碟、隨身碟及網路共用資料夾,並搜尋每個磁碟與網路資料夾下的第一層目錄。二版的SPORA同第一版,將系統登錄值「HKLM\Software\Classes\lnkfile IsShortcut」刪除,並讓資料夾右下捷徑符號消失,使使用者勿以為其捷徑為一資料夾。
目前SPORA v2與舊版的差異是,RSA金鑰(RSAPrivKey2)已直接內含在勒索訊息檔中而非分開的檔案,若SPORA v2開始執行則會以RSA-1024演算法,將系統上的影像檔和Microsoft Office文件加密,但加密後病毒並不會修改副檔名。加密完成之後,SPORA v2將顯示勒索訊息,該訊息的檔案名稱隨電腦而異,格式為:XXOOO-AAAAA-BBBBB-CCCCC-DDDDD.html,開頭兩個字元(XX)是二位數字國碼。其餘字元為隨機產生編號,每個受害者皆不同。
文章定位: