【iThome】这次更危险！脸书钓鱼影片又来了，假冒好友私讯骗你植入勒索软体Locky http://www.ithome.com.tw/news/109738 【发现人员的部落格】 https://bartblaze.blogspot.tw/2016/11/nemucod-downloader-spreading-via.html 资安研究人员发现，出现一波新的勒索软体散播方式，骇客先盗用Facebook帐号， 再以私讯分享伪造的图片，诱拐被害者下载恶意浏览器外挂， 再暗中植入勒索软体Locky 继先前9月初的脸书钓鱼影片威胁之後，昨天脸书又出现了更危险的勒索软体诱骗手法。 这次不只是偷取个人资料，还会按装植入了勒索软体Locky，来绑架你的电脑档案。 两名资讯安全研究人员Bart Blaze近日揭露了这个精心设计的勒索软体诱骗安装手法， 骇客先假冒朋友的Facebook帐号，透过私讯传送内藏特殊脚本程式的伪造svg图片档 给勒索对象，这个伪造图片会打开一个假冒的Youtube网页， 并跳出安装下载开启一个内藏有Nemucod恶意程式的Chrome外挂程式「One」的请求， 若使用者点下同意安装外挂。Bart同事Peter Kruse进一步证实 这个Nemucod程式会暗中下载Locky勒索软体植入受害者的电脑， 来加密绑架档案，进而勒索赎金。Bart Blaze建议，如果受到感染後， 尽速将扩充程式移除，并且更改Facebook密码，避免再次遭到勒索。 Bart Blaze说明，因为XML描述语言撰写的SVG图片档案可以内藏脚本程式 （例如 JavaScript），可以避开了Facebook过滤程式档的机制透过私讯传递。 受害者若开启这个图片档後，会打开一个伪造的Youtube网站， 要求受害者欣赏一部来自Facebook的影片，但需要先安装解码器才能观看， 来引诱受害者安装一个名为「One」的Google Chrome扩充程式。 这个扩充程式安装画面没有任何图案，也没有提供详细的程式功能说明。 Peter Kruse发现，一旦安装这个扩充程式後， 会进一步下载勒索软体Locky植入受害者的电脑。 目前，Bart Blaze说明，他们还无法确定这个「One」的扩充程式， 是否会自动蒐集被害者的凭证资讯，再自动透过Facebook散播将恶意图档。 但是，目前可以得知的是，并非所有被感染的人都会自动散布恶意图档给朋友， 似乎是采半随机方式挑选（semi-random）。 至於要如何解除遭到感染的情况？Bart Blaze建议，必须立即将扩充程式移除， 并且同时进行防毒程式的扫瞄和更改Facebook的密码，避免更多档案遭到感染。 而且，如果收到朋友传送恶意文件的讯息，应该要通知对方已经遭到感染的情况。 目前，Facebook和Google Chrome商店的安全团队，已经收到此传递恶意文件的消息。 Locky勒索软体恶名昭彰，是三大恶意程式之一，今年第二季透过电子邮件散布， 感染了全球多国的企业，其中7成是医疗业者， 肯德基洲有一家医院因伺服器档案遭加密勒索，被迫改用纸本作业。 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.130.134.220 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1479889177.A.D42.html