隨著微軟為舊款 Windows 推出修補檔案,勒索軟件 WannaCry 的攻擊已稍為緩和,但香港電腦保安事故協調中心提醒電腦用戶千萬不可鬆懈,並要特别防範一種透過惡意 PDF 附件傳播、名為「Jaff」的加密勒索軟件。
透過惡意 PDF 附件傳播 已收到一宗事故報告
協調中心指,Jaff 現正透過大量垃圾電郵 散播,電郵主題有固定格式,由一個單字及一組隨機數字組成, 中間隔以「底缐」,例如: Copy_12345。被揭發的垃圾電郵主題單字包括:「Copy」、「Document」 、「Scan」、「File」、「PDF」等;部分垃圾電郵則只以「Scanned Image」 為主題。他們至今收到一宗事故報告。
有關電郵附件為一個附有 Word 檔案的 PDF 附件。用戶開啟了 PDF 附件後,再按指示開啟 Word 檔案;開啟後,用戶將被要求啟動「允許編輯」功能,此時巨集功能將會執行並下載惡意軟件。「Jaff」勒索軟件感染電腦後,將加密電腦上的檔案,及要求用戶繳付兩個比特幣(相等於港幣 28,000元)的贖金。
Cisco Talos:攻擊流程需要使用者互動 可逃過自動檢測機制
資訊安全公司 Cisco Talos 指,Jaff 在首輪攻擊活動中,相關的電子郵件的正文沒有任何內容,僅帶有名為「nm.pdf」的附件,反映攻擊者在創造惡意郵件時並未花費很大的心思,但在後續的攻擊活動中, 電子郵件的正文開始包含「Image data in PDF format has been attached to this email.(這封電子郵件的包含 PDF 格式的圖像附件。)」
Cisco Talos 亦分析了該個惡意 PDF 附件,指附件包含 Javascript,用於打開內嵌的 Microsoft Word 文檔。他們指出,由於在用戶批准打開 Word 檔案之前,都不會發生任何惡意活動,故在未進行配置去模擬這類審批活動的沙盒環境中,感染可能永遠不會發生, 並可能會導致沙盒環境判定此檔為正常檔。
當 Jaff 加密了指定的電腦檔案後,便會添加副檔名「jaff」,並會在受害者的「My Documents(我的文件)」目錄下寫入一個名為 ReadMe.txt 的檔案,其中包含了勒索聲明,同時會修改桌面背景。
香港電腦保安事故協調中心建議用戶定期備份電腦上的檔案及保存離線備份,對可疑電郵及附件提高警覺,不要啟動Word 的巨集功能,並安裝防毒軟件及定期更新電腦的修補軟件。