警世录

迷魂障后的敲诈者

【简介】妆,遮了本色,欺了眼目。水流妆溶,在虚拟空间的侠客就如蜿蜒的溪流,流入细琐,流入沟壑,冲刷尽敲诈者迷魂障目的妆。受到暴利的驱使,敲诈者木马不断兴风作浪。它们的迷魂障目法,已不再局限于传统的邮件附件传播,而是通过更隐蔽的挂马、社工欺诈来传播。

下载管家

杉泽90后插画师有实力,无所惧

本期插画作者,国风美学画师,自由艺术工作者,致力于东方水墨插画艺术。

近日,电脑管家发现的敲诈者“大案”有三:1、通过WordPress框架的网站漏洞欺骗用户下载Chrome字体的Sporalocker敲诈者; 2、通过看图软件疯狂传播的国产“纵情”敲诈者木马; 3、通过情人节为嘘头的表白软件生成木马。

病毒伪装成Chrome字体更新程序

近日,腾讯电脑管家安全感知系统发现,备受开发者青睐的网站搭建平台WordPress被大范围攻陷,致使用户在Chrome或Chrome内核浏览器中打开部分使用WordPress平台搭建的网站时出现乱码,并提示需要下载字体更新程序并执行后才能正常访问。一旦用户点击下载更新,植入其中的新型敲诈者病毒Spora便会自动运行,将用户所有文件加密。

这是一种新型的攻击方式,其原理是“EITest”恶意软件在攻陷Wordpress框架的网站后,在该网站正常的页面代码末尾添加JavaScript代码,致使用户访问页面时出现乱码(这是因为JS脚本在干扰页面的文本),随后弹出一个警告窗口,指出该页面因为缺少“HoeflerText”字体无法正确显示,同时提示点击Update按钮从而下载该Chrome字体包。

当用户单击Update按钮时,弹出窗口会自动下载名为Chrome Font v1.55.exe(实际上是Spora 系列敲诈者病毒)的文件并将其保存到默认下载文件夹,然后跳转到一个说明页面,提示如何找到和运行下载的字体更新程序。用户一旦运行该病毒,电脑上所有工作和个人文件将会被加密而无法使用。当完成对文件的加密时,电脑将显示敲诈页面,告知中招者登录Spora支付网站以确定赎金金额或付款。

病毒伪装成色站网站,诱导运行

腾讯电脑管家安全感知系统感知到一个新型的国产敲诈者——纵情,经分析发现,中招用户电脑上的所有文档文件都被修改成了“ {windows-文件发生意外问题-可修复(严禁修改)-错误代码0x00000bf8}-”+原始文件名,该敲诈者通过rundll32.exe加载名为update.dll的文件来进行加密操作。Update.dll表面上是一个更新程序,实为一个远控软件,能接受服务端的各种指令进行操作,如内存加载执行、关闭防火墙、收发邮件等。这款 “纵情”敲诈者病毒最初植入在一款名为“识图看看”的软件中,随后通过各大社交平台、论坛及网盘疯狂传播。目前,“纵情”敲诈者病毒的作者已发布“破解版”解密工具。经腾讯电脑管家检测发现,该解密工具确实可以正确解密中招电脑上的文件文档。已中招的用户可通下载该工具进行解密。

病毒借情人节热点传播

近日,腾讯电脑管家旗下哈勃分析系统接到用户反馈,手机遭受恶意木马锁屏,需向不法分子交纳赎金才能恢复正常。据腾讯电脑管家旗下哈勃分析系统发现,中招敲诈木马的用户都安装一些名为“表白神器”或类似名称的应用。据分析,此类木马之前一直在不停变种和传播,而近期则盯上情人节这个热点,以“表白神器”、“表白软件生成”等名义传播,吸引手机用户下载。一旦木马安装运行,就会添加置顶的悬浮窗口,并设置开机启动,从而导致点击任何按键都无法返回桌面,即使重启手机也无济于事。目前,该木马已有多种变种,日均影响近万用户。不慎感染敲诈者木马的手机将面临锁屏、遭遇勒索、损失钱财的风险。

4招剿灭网络魑魅

及时补漏洞

被挂马的网站往往都存在一些漏洞,比如此次使用Wordpress搭建的网站。因此,广大网站管理人员应随时关注Wordpress官网安全公告,并及时升级到最新版本以免发生更多攻击事件。

遇到乱码须谨慎

上文提到的Chrome字体包,就是借网站字体更新,令用户降低了防备。上网时如若遇到类似的情况,若未开启电脑管家,则建议暂时停止访问该网站;开启腾讯电脑管家的电脑可实时拦截木马,防止中招。

遇可疑可检测

遇到可疑文件,可上传至腾讯电脑管家的哈勃分析系统检测。对于一些可疑的号码、网址、银行卡号等,可在电脑管家反诈骗查询入口检测。

遭手机锁屏
可用专杀工具

手机若不幸被敲诈者木马锁屏,可使用腾讯电脑管家的手机锁屏专杀工具进行解锁。用户可在12.2及以上版本的电脑管家工具箱中找到手机锁屏专杀工具。

杉泽书友会

这期警世录开始,我们会在每期的读者中筛选5名,送出由杉泽亲笔签名的《洛煌笈》。

筛选规则:每期,会由杉泽给出5个幸运数字,留言踩在幸运数字上的用户即可获得奖励。获奖名单将在管家论坛公布。

参加活动领取签名赠书>>