2 Remove Virus

ปรับปรุงอักษร HoeflerText ปลอมดันหนูและ Locky ไปผู้ใช้ Chrome และ Firefox

นักวิจัยความปลอดภัย แบรด Duncan เพิ่งได้สังเกตเห็นสองแคมเปญต่าง ๆ ใช้ป๊อปอัพ “แบบอักษร HoeflerText ไม่พบ” แพร่มัลแวร์ เมื่อผู้ใช้ป้อนเว็บไซต์ที่ถูกบุกรุก เขาจะทราบว่า ต้องติดตั้งการปรับปรุงเพื่อดูเว็บไซต์ ทั้งนี้สามารถนำไป RAT (remote access tool) to be installed หรือ Locky ransomware แปลกพอ แรกมีผลต่อ Google Chrome แต่เพียงผู้เดียว และคนสองทำงานใน Chrome และ Mozilla Firefox เท่านั้น

ปรับปรุงอักษร HoeflerText Chrome หนูมัลแวร์แพร่กระจาย

สำหรับผู้ใช้ Google Chrome รหัส ที่ถูกบุกรุก ไซต์ จะแจ้งเตือนแบบผุดขึ้น และป้องกันไม่ให้ผู้ใช้เข้าถึงหน้าการ มันจะอธิบายว่า ไม่พบอักษร “HoeflerText” และที่ คุณต้องการปรับปรุงของคุณ “Chrome ชุดแบบอักษร” คาดคะเน เว็บไซต์ที่ผู้ใช้พยายามเข้าถึงใช้แบบอักษรเฉพาะ และเนื่องจากไม่มีการติดตั้งบนคอมพิวเตอร์ของผู้ใช้ ข้อความไม่สามารถแสดงได้อย่างถูกต้อง มันมีโลโก้ Chrome มัน แสดง Google Inc. เป็นผู้ผลิต แต่ไม่ได้ดูจากระยะไกลถูกต้องตามกฎหมาย แต่ มากผู้ที่มีประสบการณ์น้อยอาจตกสำหรับเรื่องนี้ และผลที่ตามมาอาจไม่พอใจ

หากผู้ใช้กดปุ่มปรับปรุง ไฟล์ “Chrome_Font.exe” จะดาวน์โหลดลงบนคอมพิวเตอร์ เมื่อเปิด มันจะติดตั้งเครื่องมือการเข้าถึงระยะไกล NetSupport Manager เครื่องมือนี้จะเชื่อมโยงกับแคมเปญมัลแวร์อื่นซึ่งนำไปสู่บัญชีผู้ใช้ไอน้ำ

แคมเปญประเภทเดียวกันใช้ปีแพร่กระจาย ransomware ต่าง ๆ และก็ไม่ทราบทำไมมันตอนนี้ใช้หนูแทนการเข้ารหัสลับแฟ้มมัลแวร์ เครื่องมือจริง ๆ มีสถานะ และผู้ใช้อาจไม่ได้แจ้งก็มี ถ้าคุณพบการติดตั้ง มันอาจจะเกี่ยวข้องกับการเรียงลำดับบางอย่างของมัลแวร์กิจกรรม มันควรที่จะตั้งข้อสังเกตว่า ไซต์ซึ่งแสดงป๊อปอัพที่เป็นอันตรายจะทำงานบน Google Chrome ดันแคนหมายเหตุว่า ถ้าผู้ Internet Explorer ป้อนไซต์ เขาจะได้รับการสนับสนุนด้านเทคนิคกับหมายเลขโทรศัพท์แทนป๊อปอัพ

ป็อปอัพชนิดเดียวไปสู่ผู้ใช้ Firefox และ Chrome Lukitus ransomware

ดันแคนยังสังเกตเห็นป็อปอัพในแคมเปญต่าง ๆ ชนิดเดียวกัน และหนึ่งนี้จะนำไปสู่ Lukitus ransomware ถ้าคุณไม่คุ้นเคยกับชื่อนั้น คุณอาจรู้จัก Locky ransomware เป็นหนึ่งในโรคแฟ้มเข้ารหัสชิ้นส่วนของมัลแวร์ และหลังจากเวลาของการอยู่ในเงามืด มันได้กลับมาเป็นชื่อใหม่ Lukitus

แคมเปญนี้มัลแวร์ใช้ Dropbox ปลอมอีนำผู้ใช้ไป ransomware เหยื่อได้รับอีเมล์ จากคาดคะเน Dropbox อ้างว่า ต้องตรวจสอบอีเมลก่อนเสร็จสิ้นการลงทะเบียน ถ้าคุณกดปุ่ม ‘ยืนยันอีเมล’ พวกเขาจะถูกนำไปไซต์ที่กล่าวถึงก่อนหน้านี้ “HoeflerText” แสดงป๊อปอัป หมายเหตุที่ขึ้นอยู่กับเบราว์เซอร์ของคุณ คุณอาจได้รับเว็บไซต์อื่น ถ้าผู้ใช้ใช้ Internet Explorer หรือ Microsoft Edge เพื่อเข้าถึงยังเว็บไซต์ พวกเขาจะถูกนำไปยังเว็บไซต์ Dropbox ปลอม แล้วอะไรจะเกิดขึ้น อย่างไรก็ตาม ผู้ใช้ Firefox และ Chrome จะเห็นการแจ้งเตือน

หากผู้ใช้กดปุ่มปรับปรุง แฟ้มที่ชื่อ Win.JSFontlib09.js จะถูกดาวน์โหลดลงบนคอมพิวเตอร์ ตาม Duncan ไฟล์จะดาวน์โหลด และติดตั้ง Locky เมื่อ Locky ของภายในเครื่องคอมพิวเตอร์ของเหยื่อ ไฟล์จะถูกเข้ารหัส และจะถูกลบหมายเหตุค่าไถ่

เท่าที่แพร่กระจายซับซ้อน วิธีไป นี้อาจไม่มีประสิทธิภาพมากขึ้น และมันจะไม่ใหม่ ปรับปรุงปลอมผุดขึ้นมีการใช้แพร่มัลแวร์ก่อน ก็ง่ายมากที่จะหลีกเลี่ยงการติดเชื้อนี้โดยเฉพาะ เพียงงดเปิดอีเมล์ลิงค์และไฟล์แนบจากผู้ส่งที่คุณไม่รู้จัก และติดตั้งส่วนขยายโดยไม่แน่ใจว่าจะปลอดภัย การค้นหา Google ง่ายจะได้บอกคุณว่าการติดตั้งการปรับปรุง HoeflerText จะนำไปสู่มัลแวร์ และในกรณีใด ๆ ไม่มีเบราว์เซอร์จะเคยขอให้คุณติดตั้งการปรับปรุงแบบอักษร