多個外國科技網站報導,連續數月有報告指出Gogole Chrome瀏覽器出現一個新的病毒,隨時會令用戶電腦中毒。網 路 資安廠商趨勢科技提醒用戶,使用Chrome瀏覽器時,當網頁突然彈出“找不到字型”視窗,背景文字全變亂碼,別急着按“更新”按鈕,小心或是惡意病毒。

趨勢科技網站報導,該網站發現,2月肆虐的勒索病毒家族SPORA出現新的變種SPORA v2(RANSOM_SPORA.F117C2),在瀏覽網頁時會出現“找不到字型”的小視窗,背景網頁的字體變成亂碼,故布疑陣讓受害者因驚慌而按下“更新”,掉入勒索病毒陷阱。

「spora v2」的圖片搜尋結果

最近新的版本增加了蠕蟲能力。SPORA v2感染系統的方式是靠用戶點選Google Chrome瀏覽器的彈出視窗,該視窗請用戶更新Chrome字型套件以顯示“HoeflerText”字型。當用戶點選了彈出視窗,就會下載一個偽裝成正常檔案的惡意程式。一旦惡意程式執行,電腦即遭到感染。

趨勢科技表示,此一新的SPORA變種會將自己複製到硬碟、隨身碟及網路共用資料夾。此外,還會搜尋每個磁碟與網路資料夾下的第一層目錄。第二版的SPORA也和第一版一樣,會將系統登錄值“HKLMSoftwareClasseslnkfile IsShortcut”刪除,讓資料夾捷徑右下角的小箭頭不見,如此一來用戶會以為其捷徑檔案是一個資料夾。

SPORA v2 與舊版的另一個差異是其RSA金鑰(RSAPrivKey2)現在已直接內含在勒索訊息檔中,並非一個分開的檔案。一旦SPORA v2開始執行,就會使用RSA-1024算法將系統上的影像檔和Microsoft Office文件加密。不過在加密之後,該病毒並不會修改副檔名。

趨勢科技說,加密完成之後,SPORA v2將顯示勒索訊息,該訊息的檔案名稱隨電腦而異,格式為:XXOOO-AAAAA-BBBBB-CCCCC-DDDDD.html,開頭兩個字元(XX)是二位數字國碼。其餘的字元是隨機產生的編號,每個受害者皆不同。

 

    全站熱搜

    Win Driver Blog 發表在 痞客邦 留言(0) 人氣()