Chrome要你更新字型？小心是病毒

网络资安厂商趋势科技提醒消费者，使用GogoleChrome浏览器如果弹出“找不到字型”视窗，别急着按更新，小心可能是勒索病毒假冒的。趋势科技发现，2月肆虐的勒索病毒家族SPORA出现新的变种SPORAv2，在浏览网页时会出...

网络资安厂商趋势科技提醒消费者，使用Gogole Chrome浏览器如果弹出“找不到字型”视窗，别急着按更新，小心可能是勒索病毒假冒的。

趋势科技发现，2月肆虐的勒索病毒家族SPORA出现新的变种SPORA v2，在浏览网页时会出现“找不到字型”的小视窗，背景网页的字体变成乱码，故布疑阵让受害者因惊慌而按下“更新”，掉入勒索病毒陷阱。

最近新的版本增加了蠕虫能力。SPORA v2感染系统的方式是靠使用者点选Google Chrome浏览器的弹出视窗，该视窗请使用者更新Chrome字型套件以显示“HoeflerText”字型。当使用者点选了弹出视窗，就会下载一个伪装成正常档案的恶意程式。一旦恶意程式执行，电脑即遭到感染。

趋势科技表示，此一新的SPORA变种会将自己复制到硬盘、随身碟及网络共用资料夹。此外，还会搜寻每个磁碟与网络资料夹下的第一层目录。第二版的SPORA也和第一版一样，会将系统登录值“HKLMSoftwareClasseslnkfile IsSho人体cut”删除，让资料夹捷径右下角的小箭头不见，如此一来使用者会以为其捷径档案是一个资料夹。

SPORA v2与旧版的另一个差异是其RSA金钥现在已直接内含在勒索讯息档中，并非一个分开的档案。一旦SPORA v2开始执行，就会使用RSA-1024演算法将系统上的影像档和Microsoft Office文件加密。不过在加密之后，该病毒并不会修改副档名。

趋势科技说，加密完成之后，SPORA v2将显示勒索讯息，该讯息的档案名称随电脑而异，格式为：fsgxO-AAAAA-BBBBB-CCCCC-DDDDD.html，开头两个字元是二位数字国码。其余的字元是随机产生的编号，每个受害者皆不同。