圖片來源: 

趨勢科技

在武漢肺炎疫情持續蔓延之際,駭客大肆運用這個時事,做為吸引受害者上當的誘餌,像是假冒防疫資訊,或者宣稱會提供口罩等物資的釣魚攻擊等。不過,也有駭客藉著社會大眾對於疫情的恐慌,來進行勒索。最近趨勢科技發現一種武漢肺炎電腦病毒(Coronavirus Installer),一旦中毒,便會顯示含有冠狀病毒圖片的視窗,而且不能關閉,同時病毒會竄改電腦的主要開機磁區(MBR),導致電腦無法使用。

攻擊進行到了最後,駭客會留下Discord帳號,供受害人能夠聯繫。雖然這個做法與一般常見的加密勒索軟體(Ransomware)不同,沒有直接要求受害者支付加密貨幣,但實際上這是勒索手法的轉變。趨勢科技指出,越來越多駭客開始改用這種做法來要求受害人付款。

這波攻擊行動也引起捷克國家數位資訊安全局(National Cyber and Information Security Agency,NUKIB)關注,發出公告揭露該惡意軟體的MD5與SHA-256雜湊值,要當地民眾加以防範。

捷克國家數位資訊安全局(NUKIB)發出公告,指出有一波惡意軟體攻擊行動,駭客以民眾害怕肺炎疫情的心理進行勒索,要民眾落實端點防護措施,像是安裝防毒軟體、要避免開啟來路不明的Office軟體巨集等,並且列出惡意軟體的雜湊值,供企業加以防範。

趨勢科技指出,假如電腦不幸中了這個病毒,就會自動重新開機,然後彈出以武漢肺炎病毒圖片為背景的視窗,意味著就算使用者沒有下載來路不明的檔案,或者是瀏覽帶有惡意內容的網站,電腦可能還是會遭到病毒感染。至於感染受害電腦的管道,該公司則是沒有進一步說明。

如同現實疫情,攻擊者試圖讓受害者無技可施

究竟這個病毒發作後,會對於電腦帶來什麼影響呢?趨勢科技將上述的惡意程式觸發,這個惡意軟體就將電腦強制重新開機,開機之後電腦會出現一個以病毒圖片為背景的視窗,視窗的標題寫著「武漢肺炎(Coronavirus)已經感染你的電腦了!」

而這個視窗的左下角與右下角共有兩個按鈕,分別是「說明」與「移除病毒」,但是只有左下角的說明能被點選,移除病毒按鈕則是顯示灰色文字而無法操作。按下說明的按鈕,則會彈出一個對話框,表示受害者會看到這個訊息,是因為電腦已經染疫,告訴受害者工作管理員已經被停用,而且病毒的處理程序無法終止,就算受害者真的關掉了這個視窗,病毒還會再將它重新開啟。總之,說了這麼多細節,駭客的意思,就是受害者不需要浪費時間想要關掉這個帶有病毒圖案的視窗。

遭到植入惡意軟體的電腦會出現圖中的視窗,表示電腦已遭武漢肺炎感染,如果使用者點選說明(Help)按鈕,惡意軟體就會彈出對話框,警告使用者不要白費力氣來關掉這個視窗。

再者,假如受害者想要關掉這個視窗,視窗的右上角有關閉的按鈕,但實際上卻是沒有任何作用,也不能將視窗關掉。

基於許多駭客想要遠端控制受害電腦,趨勢科技也嘗試將觸發肺炎病毒的電腦連上網路,觀察移除病毒的按鈕是否能夠啟用,結果還是一樣無法點選。

要求支付贖金的手法翻新,駭客不直接提供匯款帳號

在電腦螢幕被病毒鎖住,上述視窗的按鈕又沒有其他作用,或許會有許多受害者會手動重新開機,這個時候電腦則會顯示黑底畫面,並且顯示兩行字,表明這個惡意程式是Angel Castillo製作,電腦已經損壞,以及留下駭客的Discord即時通訊軟體帳號。換句話說,受害者想要讓電腦恢復正常,就要經由這個管道聯絡駭客。

一般來說,以要求支付贖金為目的的攻擊手法,像是近期非常氾濫的勒索軟體,駭客都會提供付款的方式,也就是表明需要支付的加密貨幣金額,以及匯入到指定錢包等帳戶資訊,但趨勢科技指出,他們發現許多駭客不再曝露自己的虛擬貨幣帳號,而是像這次發動武漢肺炎病毒的駭客,改以Discord要求受害者向他們聯繫,目的當然就是脅迫受害者付錢。

趨勢科技指出,製作這個惡意軟體的駭客,選擇採用了相當複雜的攻擊流程,像是在清除MBR之前會先進行備份,而非許多惡意軟體會採取直接清除的做法。

這種策略恰讓也與時下的加密勒索軟體攻擊有些類似,都會先製作備份之後才執行破壞行動,之後便能藉此要脅受害者付錢。而且,這個武漢肺炎電腦病毒在攻擊的過程中,會要求電腦必須連上網際網路,研究人員表示,由於他們在離線環境測試時,MBR不會被竄改,因此研判是在電腦連上網路後,這個惡意軟體才會執行相關攻擊,破壞電腦的開機磁區。


Advertisement

更多 iThome相關內容