Microsoft死机｜黑客发布假CrowdStrike修复档　遥距盗窃电脑资讯

Microsoft微软Windows作业系统本月19日在全球多地出现服务故障，香港国际机场及多间超市等大受影响。香港网络安全事故协调中心（HKCERT） 今日（24日）表示，有黑客发布假冒的CrowdStrike 恢复手册，用户下载恶意软件后，黑客可以远程进入受感染系统，导致敏感数据泄露、系统崩溃和数据丢失。

香港电脑保安事故协调中心表示，不法分子不断演变其攻击手法，包括使用假冒的 CrowdStrike 恢复手册、假冒的补救方案及软件更新来传送未识别的恶意软件，可能导致敏感数据泄露、系统崩溃和数据丢失。

HKCERT 观察到黑客在此次事件中利用以下攻击手法来传播恶意软件：

假冒修复手册

一种新的恶意软件透过包含巨集的 Word 文件传播。这些文件假装是 Microsoft 修复指南来欺骗人们打开它们。一旦打开，巨集会激活并开始窃取像密码这样的敏感信息。这些被窃取的信息随后被发送到攻击者的伺服器。

假冒补救方案

通过网络钓鱼网站和假冒的内联网门户来散播假冒的 CrowdStrike 热修复程序。假冒的热修复程序传送了一个恶意软件加载器，然后放置了一个可以被黑客控制的远程访问工具在受感染的系统上。

假冒 CrowdStrike 更新

网络钓鱼电子邮件包含一个链接，下载一个 ZIP 档案包含了名为 “Crowdstrike.exe” 的可执行档。受害人执行后，一个 “数据抹除器” 会被提取到 “%Temp%” 文件夹下并启动，从而摧毁设备上的数据。

HKCERT 呼吁公众对恶意软件攻击提高警惕，建议用户：

．依从官方网站提供的修复方法进行系统修复（例如由 CrowdStrike 提供的修复方法）
．从可信任来源取得软件修补程式更新（例如由微软提供的修复工具）
．打开从互联网下载的档案前，先使用防毒软件进行扫描
．在 IT 装置遇到技术问题时，应咨询 IT 专业人员的专业意见
．不应点击任何不明来历的连结，包括来自不明电邮内和搜寻引擎的广告等
．在浏览器上设定反钓鱼网站功能以助阻挡钓鱼攻击
．使用“CyberDefender 守网者”的“防骗视伏器”，通过检查电邮地址、网址和IP地址等，来辨识诈骗及网络陷阱

若公众遭遇恶意软件攻击，HKCERT 建议用户应该：
．立即断开互联网以防止恶意软件进一步传播
．进行全面的系统扫描以识别并删除任何恶意软件
．从备份（例如外部硬碟）以还原遗失或受损的资料
．安装防毒软件以防范未来的攻击