【桃色陷阱】勒索軟件扮「甜相」 一經執行電腦檔案全毀
雖然未必每個人都會去「甜相」網站,不過這次由 Cyble 專家發現的網絡攻擊,就借助了 Microsoft Windows 一種下載檔案時的慣常做法,令用家以為只是下載一張無傷大雅的圖檔,結果卻誤裝勒索軟件,而且被加工的檔案幾乎無法還原,就算無交贖金,受害者都一樣頭痛。
圖檔本身其實都有一定危險程度,例如小編以往就曾報道有信用卡資料盜竊集團 Magecart,將 card skimmer 惡意程式碼隱藏在網站圖標 favicon 內,只要有網站用來裝飾,日後網站的客戶如使用信用卡購物,所有資料都會落入黑客集團手上。而這次由網絡安全公司捕獲的攻擊中,專家發現黑客瞄準這些安全意識較差的網民,利用色情相片引誘對方上當授權下載惡意軟件。
專家解釋,黑客集團首先設立一個色情相片網站,再於不同社交渠道宣傳吸引網民瀏覽。當 Windows 用家一進入網站,瀏覽器便會彈出一個授權下載的提示,專家說 Windows 會預設隱藏延伸檔案名稱,所以黑客便將惡意軟件執行檔命名為 SexyPhotos.JPG.exe,讓Windows下載提示只顯示 .exe 之前部分,用家看到提示,便以為只是網站送出的一張 welcome photo 而授權下載,惡夢亦隨之而來。
下載的檔案包括四個 .exe 執行檔及一個 .bat 批次檔,批次檔 avtstart.bat 首次會將其餘四個執行檔載入 Startup 資料夾,令它們每次開機時都會被載入。其中 windowss.exe 執行檔會額外引入三個檔案,以鎖定這次攻擊將會被改名的檔案類型,並將所有目標檔案順次序改名為 Lock_6.fille 等名稱,令受害者無法分辨檔案的真身,亦無法選取合適的程式去打開。惡意軟件接著會顯示一張勒索告示,指必須將價值 300 美元的 bitcoins 存入帳戶,才會提供解鎖方法。
不過,Cyble 專家說黑客由於並無偷走檔案,亦沒有方法可替受害者還原檔案名稱及類型,因此即使交贖金也沒法還原,可見黑客純粹製造恐慌騙財。而受害者唯一的解決方法,便是還原電腦至最近一次備份,當然如果電腦用家鮮有備份系統,損失便會愈慘重!
