号称会让电脑感染武汉肺炎的恶意软件现身，受害者需要透过Discord联系骇客寻求解法

在武汉肺炎疫情持续蔓延之际，骇客大肆运用这个时事，做为吸引受害者上当的诱饵，像是假冒防疫资讯，或者宣称会提供口罩等物资的钓鱼攻击等。不过，也有骇客借着社会大众对于疫情的恐慌，来进行勒索。最近趋势科技发现一种武汉肺炎电脑病毒（Coronavirus Installer），一旦中毒，便会显示含有冠状病毒图片的视窗，而且不能关闭，同时病毒会窜改电脑的主要开机磁区（MBR），导致电脑无法使用。

攻击进行到了最后，骇客会留下Discord账号，供受害人能够联系。虽然这个做法与一般常见的加密勒索软件（Ransomware）不同，没有直接要求受害者支付加密货币，但实际上这是勒索手法的转变。趋势科技指出，越来越多骇客开始改用这种做法来要求受害人付款。

这波攻击行动也引起捷克国家数位资讯安全局（National Cyber and Information Security Agency，NUKIB）关注，发出公告揭露该恶意软件的MD5与SHA-256杂凑值，要当地民众加以防范。

捷克国家数位资讯安全局（NUKIB）发出公告，指出有一波恶意软件攻击行动，骇客以民众害怕肺炎疫情的心理进行勒索，要民众落实端点防护措施，像是安装防毒软件、要避免开启来路不明的Office软件宏等，并且列出恶意软件的杂凑值，供企业加以防范。

趋势科技指出，假如电脑不幸中了这个病毒，就会自动重新开机，然后弹出以武汉肺炎病毒图片为背景的视窗，意味着就算使用者没有下载来路不明的档案，或者是浏览带有恶意内容的网站，电脑可能还是会遭到病毒感染。至于感染受害电脑的管道，该公司则是没有进一步说明。

如同现实疫情，攻击者试图让受害者无技可施

究竟这个病毒发作后，会对于电脑带来什么影响呢？趋势科技将上述的恶意程式触发，这个恶意软件就将电脑强制重新开机，开机之后电脑会出现一个以病毒图片为背景的视窗，视窗的标题写着“武汉肺炎（Coronavirus）已经感染你的电脑了！”

而这个视窗的左下角与右下角共有两个按钮，分别是“说明”与“移除病毒”，但是只有左下角的说明能被点选，移除病毒按钮则是显示灰色文字而无法操作。按下说明的按钮，则会弹出一个对话框，表示受害者会看到这个讯息，是因为电脑已经染疫，告诉受害者工作管理员已经被停用，而且病毒的处理程序无法终止，就算受害者真的关掉了这个视窗，病毒还会再将它重新开启。总之，说了这么多细节，骇客的意思，就是受害者不需要浪费时间想要关掉这个带有病毒图案的视窗。

遭到植入恶意软件的电脑会出现图中的视窗，表示电脑已遭武汉肺炎感染，如果使用者点选说明（Help）按钮，恶意软件就会弹出对话框，警告使用者不要白费力气来关掉这个视窗。

再者，假如受害者想要关掉这个视窗，视窗的右上角有关闭的按钮，但实际上却是没有任何作用，也不能将视窗关掉。

基于许多骇客想要远端控制受害电脑，趋势科技也尝试将触发肺炎病毒的电脑连上网络，观察移除病毒的按钮是否能够启用，结果还是一样无法点选。

要求支付赎金的手法翻新，骇客不直接提供汇款账号

在电脑屏幕被病毒锁住，上述视窗的按钮又没有其他作用，或许会有许多受害者会手动重新开机，这个时候电脑则会显示黑底画面，并且显示两行字，表明这个恶意程式是Angel Castillo制作，电脑已经损坏，以及留下骇客的Discord即时通讯软件账号。换句话说，受害者想要让电脑恢复正常，就要经由这个管道联络骇客。

一般来说，以要求支付赎金为目的的攻击手法，像是近期非常泛滥的勒索软件，骇客都会提供付款的方式，也就是表明需要支付的加密货币金额，以及汇入到指定钱包等账户资讯，但趋势科技指出，他们发现许多骇客不再曝露自己的虚拟货币账号，而是像这次发动武汉肺炎病毒的骇客，改以Discord要求受害者向他们联系，目的当然就是胁迫受害者付钱。

趋势科技指出，制作这个恶意软件的骇客，选择采用了相当复杂的攻击流程，像是在清除MBR之前会先进行备份，而非许多恶意软件会采取直接清除的做法。

这种策略恰让也与时下的加密勒索软件攻击有些类似，都会先制作备份之后才执行破坏行动，之后便能借此要胁受害者付钱。而且，这个武汉肺炎电脑病毒在攻击的过程中，会要求电脑必须连上互联网，研究人员表示，由于他们在离线环境测试时，MBR不会被窜改，因此研判是在电脑连上网络后，这个恶意软件才会执行相关攻击，破坏电脑的开机磁区。