Board logo

標題: [勒索程式實錄] 請不要胡亂使用公用電腦 [打印本頁]
作者: daemongmong    時間: 2016-12-29 13:23     標題: [勒索程式實錄] 請不要胡亂使用公用電腦

本帖最後由 daemongmong 於 2016-12-29 13:35 編輯

某天我在某健身中心,看見了某部公用電腦已中毒(勒索程式),從IE的cache了解,懷疑某人使用IE8,想瀏覽香港一個知名網站(.com.hk尾),但URL打漏一個字母,結果瀏覽了不知名的網站,因而中毒。

該電腦仍然是Windows XP,沒有安裝防毒軟件,而且Windows XP沒有套用全部更新(即更新不到2014年4月),但有安裝還原程式。雖然該電腦有安裝Firefox(版本只是v35)和Chrome(版本為v52),但重啟系統後,會自動打開IE8。一般人並不會留意到用IE8上網很不安全。

因為公用電腦可能仍然是舊式系統,亦未必套用了最新更新,所以大家不要胡亂使用公用電腦。

dec01.jpg
dec02.jpg
dec03a.jpg
dec04.jpg
dec05.jpg

圖片附件: dec01.jpg (2016-12-29 13:09, 104.5 KB) / 下載次數 60
https://h2.hkepc.com/forum/attachment.php?aid=1949507&k=12d2a5523976363fa01226598d6a93f8&t=1781532724&sid=NO9fUOcsE



圖片附件: dec02.jpg (2016-12-29 13:09, 106.33 KB) / 下載次數 54
https://h2.hkepc.com/forum/attachment.php?aid=1949508&k=3a008e813a50ec87c7e3d25c2390d76f&t=1781532724&sid=NO9fUOcsE



圖片附件: dec04.jpg (2016-12-29 13:09, 119.74 KB) / 下載次數 63
https://h2.hkepc.com/forum/attachment.php?aid=1949509&k=67d8a4f90023cd1002c21bbd7401a5fb&t=1781532724&sid=NO9fUOcsE



圖片附件: dec05.jpg (2016-12-29 13:09, 111.17 KB) / 下載次數 72
https://h2.hkepc.com/forum/attachment.php?aid=1949510&k=2d736bced09ffdffc3b8be6dcf3e63c8&t=1781532724&sid=NO9fUOcsE



圖片附件: dec03a.jpg (2016-12-29 13:11, 110.16 KB) / 下載次數 72
https://h2.hkepc.com/forum/attachment.php?aid=1949511&k=f4a6ca113a4a505c95e77532c486a07d&t=1781532724&sid=NO9fUOcsE

作者: cpchen    時間: 2016-12-29 13:42

請問是那個網有毒 ?
作者: daemongmong    時間: 2016-12-29 13:49

本帖最後由 daemongmong 於 2016-12-29 13:51 編輯
請問是那個網有毒 ?
cpchen 發表於 2016-12-29 13:42

涉及的URL(.com.hk結尾的,與香港某知名的極類似,只是少了一個字母)本身是轉向的網站,瀏覽該URL後,會隨機訪問其他網站(包括病毒網站和其他非病毒網站),所以不是每次瀏覽該URL後一定會「中招」,但有「中招」的可能。
作者: wh.henry.c    時間: 2016-12-30 20:04

咁牙煙!?
師兄係喺邊度嘅公共電腦見到?
作者: wh.henry.c    時間: 2016-12-30 20:05

邊區先啱~
作者: cpop    時間: 2016-12-30 20:55

提示: 作者被禁止或刪除 內容自動屏蔽
作者: daemongmong    時間: 2016-12-30 23:15

邊區先啱~
wh.henry.c 發表於 2016-12-30 20:05

九龍東某健身中心的公用電腦,該電腦仍然是Windows XP,而且沒有套用最新更新(2014年4月的)和安裝防毒軟件,但重新啟動後,C: 便回復正常。
作者: daemongmong    時間: 2016-12-30 23:18

本帖最後由 daemongmong 於 2016-12-30 23:46 編輯
咁牙煙!?
咩網呀,要小心了
cpop 發表於 2016-12-30 20:55


不太方便在此透露,因為正確的URL是很著名的網站,一透露的話讀者很容易「中招」。

有問題的轉向網站URL較正確的少一個字母。
作者: cpop    時間: 2016-12-30 23:40

提示: 作者被禁止或刪除 內容自動屏蔽
作者: kelvinhin    時間: 2016-12-31 00:39

不太方便在此透露,因為正確的URL是很著名的網站,一透露的話讀者很容易「中招」。

有問題的轉向網站URL ...
daemongmong 發表於 2016-12-30 23:18



    個網應該係"丫烏". 所以大家都係小心d.
作者: daemongmong    時間: 2016-12-31 01:19

本帖最後由 daemongmong 於 2016-12-31 01:21 編輯

瀏覽某條與香港著名網站極為類似(少了一個字母)的URL後(圖1),會轉到一個追蹤URL(圖2),有時候顯示圖3或圖4的網站,看似沒有問題,但亦可能顯示圖5的網站。當瀏覽圖5網站段,會轉到圖6和圖7的URL。圖7的網頁只顯示一個方框,然後顯示圖8的提示,電腦已經中毒了。圖7網頁的源碼包含Javascript和VBScript,方框的應該是虛假的Flash,實際上是執行檔案(圖9至11)。

雖然該電腦有安裝還原程式,重新啟動電腦後會自動還原到沒有病毒的狀況,但始終該電腦仍是Windows XP,沒有套用全部的更新,更何況沒有安裝防毒軟件,而且默認打開的瀏覽器是IE8(該電腦開機後自動打開IE),一般人還是會誤用IE上網,潛在很大風險。

圖1:
dec11.jpg
圖2:
dec12.jpg
圖3:
dec13.jpg
圖4:
dec14.jpg
圖5:
dec15.jpg
圖6:
dec16.jpg
圖7:
dec17.jpg
圖8:
dec18.jpg
圖9:
dec19.jpg
圖10:
dec20.jpg
圖11:
dec21.jpg

圖片附件: dec12.jpg (2016-12-31 01:03, 33.2 KB) / 下載次數 52
https://h2.hkepc.com/forum/attachment.php?aid=1949899&k=e8283ec6a65db07422f56fbe78509212&t=1781532724&sid=NO9fUOcsE



圖片附件: dec13.jpg (2016-12-31 01:03, 41.21 KB) / 下載次數 40
https://h2.hkepc.com/forum/attachment.php?aid=1949900&k=0cc4899dabfa39a05ed7974591f7a6e0&t=1781532724&sid=NO9fUOcsE



圖片附件: dec14.jpg (2016-12-31 01:03, 45.71 KB) / 下載次數 44
https://h2.hkepc.com/forum/attachment.php?aid=1949901&k=15d99a5b4f1ea3a50c5da517a55261aa&t=1781532724&sid=NO9fUOcsE



圖片附件: dec15.jpg (2016-12-31 01:03, 53.04 KB) / 下載次數 39
https://h2.hkepc.com/forum/attachment.php?aid=1949902&k=0437e457eff1e79910095e80d9b9c94b&t=1781532724&sid=NO9fUOcsE



圖片附件: dec16.jpg (2016-12-31 01:03, 39.53 KB) / 下載次數 48
https://h2.hkepc.com/forum/attachment.php?aid=1949903&k=202223cc1f160a7557e11b2dc2de5665&t=1781532724&sid=NO9fUOcsE



圖片附件: dec17.jpg (2016-12-31 01:04, 43.81 KB) / 下載次數 44
https://h2.hkepc.com/forum/attachment.php?aid=1949904&k=8fb22587337b855768a1164393519eb9&t=1781532724&sid=NO9fUOcsE



圖片附件: dec18.jpg (2016-12-31 01:04, 49.77 KB) / 下載次數 41
https://h2.hkepc.com/forum/attachment.php?aid=1949905&k=54936395db7076127f370b427f14a2d9&t=1781532724&sid=NO9fUOcsE



圖片附件: dec19.jpg (2016-12-31 01:04, 38.96 KB) / 下載次數 51
https://h2.hkepc.com/forum/attachment.php?aid=1949906&k=4e88c5d50f53edd958e1767033878b2f&t=1781532724&sid=NO9fUOcsE



圖片附件: dec20.jpg (2016-12-31 01:04, 38.75 KB) / 下載次數 54
https://h2.hkepc.com/forum/attachment.php?aid=1949907&k=f3a2856605421bd0e0aef54cfe6814b4&t=1781532724&sid=NO9fUOcsE



圖片附件: dec21.jpg (2016-12-31 01:04, 48.56 KB) / 下載次數 41
https://h2.hkepc.com/forum/attachment.php?aid=1949908&k=f4e5fa6101da9170489f3ba3ad290ac8&t=1781532724&sid=NO9fUOcsE



圖片附件: dec11.jpg (2016-12-31 01:21, 29.55 KB) / 下載次數 55
https://h2.hkepc.com/forum/attachment.php?aid=1949921&k=e2a7fabc29649c3adc825e3d09ca2bc2&t=1781532724&sid=NO9fUOcsE

作者: kelvinhin    時間: 2016-12-31 01:27

瀏覽某條與香港著名網站極為類似(少了一個字母)的URL後(圖1),會轉到一個追蹤URL(圖2),有時候顯示圖 ...
daemongmong 發表於 2016-12-31 01:19


好奇一問, 如果用firefox/chrome上果個假網會唔會同樣出現中毒情況? 因為我知firefox/chrome唔支援VBScript.
作者: daemongmong    時間: 2016-12-31 01:29

好奇一問, 如果用firefox/chrome上果個假網會唔會同樣出現中毒情況? 因為我知firefox/chrome唔支援VBScri ...
kelvinhin 發表於 2016-12-31 01:27


沒有試過。




歡迎光臨 電腦領域 HKEPC Hardware (https://h2.hkepc.com/forum/) Powered by Discuz! 7.2