勒索病毒 肆虐至今,造成無數數位資產方面的損害,很大的原因是因為感染途徑多樣化,且感染後能夠解除的機率微乎其微,所以讓人聞之色變。而現在,有位網友的電腦感染了勒索病毒,造成自己電腦八年來的檔案全數加密,而它的感染途徑有點特別,是在伊莉論壇上。
↑圖片來源:Mobile01
網友神豬胖嘟嘟日前在 Mobile01 論壇上發文,表示自己有一天睡醒後,發現電腦上多了一個綠色的視窗阻擋整個螢幕的視線,而且還無法關閉。
↑網友打開電腦後,發現自己的畫面被綠色的視窗給佔據。圖片來源:Mobile01
後來檢查電腦檔案的時候才發現,所有檔案雖然副檔名都沒有變,但是應用程式都無法打開這些檔案,畫面僅顯示「我們無法開啟此檔案」,他才意識到電腦感染了勒索病毒。
↑所有圖片雖然維持原本的副檔名,但是都無法開啟。圖片來源:Mobile01
而他回想,它曾經在上周去過伊莉論壇看小說時,途中曾跳出一個提示視窗,上面顯示它電腦的 Adobe Flash 版本太舊,必須要更新,他當時認為只是軟體升級就直接點選,但是不管怎麼樣就安裝失敗,後來也因為不影響使用就放棄安裝,他事後把當時所下載下來的「更新檔」拿去檢查,確認了的確就是這個假 Flash 更新檔在搞鬼。
箭頭直指台灣知名的網路論壇,其實這也並非是第一篇,早在 4 月 24 日時,PTT 防毒板上就有網友 ltyintw 發文表示,伊莉論壇的首頁被黑掉了,當使用者到被黑掉的伊莉論壇首頁時,會隨機觸發一個提示視窗,大意就是指出說你的 Adobe Flash 版本是 21 版,導引你在點選視窗上的黃色按鈕來下載 Adobe Flash 的更新檔。
↑PTT網友拍攝到的造假的更新提示視窗。圖片來源:PTT
ltyintw 解釋,這次的事情是伊莉的網頁被人植入一段<script>程式碼,透過這段程式碼來建構假的「Flash Player 版本過時」的網頁訊息,透過這個視窗再誘導網友下載「加料打包」的安裝檔。他也分析了這個安裝檔,發現裡面還真的有 Adobe Flash Player 的官方檔案,但是同時也打包了三個惡意檔案。
↑拆解造假的更新檔之後,發現裏面真的有官方的更新檔,但是還包含三個惡意軟體。圖片來源:PTT
ltyintw 也對小編解釋,這個檔案在執行後,其實是在電腦上安裝了一個木馬後門,並非是馬上發作的勒索病毒,所以會有一些用戶沒有辦法馬上發現。目前它是告訴網友說,這事情伊莉論壇看起來已經在處理了,如果這段時間去伊莉論壇的網友,請小心那些奇怪的提示視窗,就算看到也不要亂點確認。
↑造假的更新檔,並沒有像官方更新檔那樣有完整的說明敘述。圖片來源:PTT
Flash 基本上已經被判定是造成勒索病毒蔓延的元兇,基本上能停用就停用,這次的事情其實是透過別種方式來植入木馬,接著再透過木馬植入勒索病毒,其實有點繞了一圈。但是這點其實跟上次在 PTT上爆發的勒索病毒災情有類似的地方,就是都會有訊息跳出來說你某個程式要更新或升級,小編在此也只能勸誡大家,不要太相信任何的網頁提示訊息,要點選確認之前都要思考再三。如果遇到提示說要升級或更新軟體的時候,最好是直接到該軟體的官方網站上進行更新,這才是最安全的。
※本文感謝 Mobile01 網友神豬胖嘟嘟與 PTT 網友ltyintw 授權圖片使用。