Chrome要你更新字型？小心是病毒

（中央社記者吳家豪台北15日電）網路資安廠商趨勢科技提醒消費者，使用Gogole Chrome瀏覽器如果彈出「找不到字型」視窗，別急著按更新，小心可能是勒索病毒假冒的。

趨勢科技發現，2月肆虐的勒索病毒家族SPORA出現新的變種SPORA v2（RANSOM_SPORA.F117C2），在瀏覽網頁時會出現「找不到字型」的小視窗，背景網頁的字體變成亂碼，故佈疑陣讓受害者因驚慌而按下「更新」，掉入勒索病毒陷阱。

最近新的版本增加了蠕蟲能力。SPORA v2感染系統的方式是靠使用者點選Google Chrome瀏覽器的彈出視窗，該視窗請使用者更新Chrome字型套件以顯示「HoeflerText」字型。當使用者點選了彈出視窗，就會下載一個偽裝成正常檔案的惡意程式。一旦惡意程式執行，電腦即遭到感染。

趨勢科技表示，此一新的SPORA變種會將自己複製到硬碟、隨身碟及網路共用資料夾。此外，還會搜尋每個磁碟與網路資料夾下的第一層目錄。第二版的SPORA也和第一版一樣，會將系統登錄值「HKLM\Software\Classes\lnkfile IsShortcut」刪除，讓資料夾捷徑右下角的小箭頭不見，如此一來使用者會以為其捷徑檔案是一個資料夾。

SPORA v2與舊版的另一個差異是其RSA金鑰（RSAPrivKey2）現在已直接內含在勒索訊息檔中，並非一個分開的檔案。一旦SPORA v2開始執行，就會使用RSA-1024演算法將系統上的影像檔和Microsoft Office文件加密。不過在加密之後，該病毒並不會修改副檔名。

趨勢科技說，加密完成之後，SPORA v2將顯示勒索訊息，該訊息的檔案名稱隨電腦而異，格式為：XXOOO-AAAAA-BBBBB-CCCCC-DDDDD.html，開頭兩個字元（XX）是二位數字國碼。其餘的字元是隨機產生的編號，每個受害者皆不同。1060415