因为在工作上有接触到这类的病毒
所以跟大家分享一些我知道的资讯
1. 我是怎么感染到这类加密型勒索病毒(CryptoRansomware)?
目前比较常见的散播途径主要是
垃圾邮件 (SPAM) 和 攻击套件包 (Exploit Kit)
但在台湾透过垃圾邮件来进行散播这类病毒还很少看到
我相信目前大部分的人应该也不是在收信以后才被加密的
所以感染途径应该都是由隐藏在广告内的攻击套件包连结导致的
所谓的攻击套件包攻击,简单来说,就是透过 网页 来进行攻击
套件包主要锁定没有更新的 Flash、PDF、Java、IE 等
程式内的漏洞来进行攻击,借此控制电脑下载病毒执行
从去年开始,这类的套件包网页连结开始被藏在广告当中
使用者只要显示到广告就会在你看不到的位置,偷连到套件包网页
过程都是自动的,所以大家即使上一般的网站都有机会被攻击
例如Crypt0l0cker请参考
http://goo.gl/Tma8qr
或是CryptoWall请参考
http://goo.gl/uIPRBx
2. 被病毒加密了之后,还有没有机会解密?
这类病毒使用的RSA+AES加密框架,对于一般个人电脑来说
可以说是没有机会自己解密的
而目前防毒厂商为什么能够提供解密工具,我自己知道是
因为病毒作者被逮捕,所以病毒的钥匙被找到后公开
如最早的CryptoLocker
或是病毒实际上并不是用真的RSA+AES非对称加密 (虽然它说是)
例如TeslaCrypt
除此之外,感染之后,除了付钱,真的很难救回档案
3. 应该怎么防范这类攻击套件包的攻击?
更新! 更新能让你的电脑更安全,也是目前最推荐的方法
对方的攻击对象包含Windows、IE、Flash、PDF Reader、Java、SilverLight
最好当更新一释出之后能够马上更新这些程式
尤其是Flash最好能在更新出来的三天内马上更新,原因请看 附录1
另外有人说Windows 8不会感染,我自己实验8.1的结果是会感染的
所以即使是使用比较新的Windows还是要记得更新!
另外我个人推荐安装Microsoft EMET,它可以一定程度的让你的电脑
更难被攻击穿透下载病毒,他是微软推出的保护软件,而且是免费的
大家都可以装,EMET请参考 附录2
如果有使用防毒软件的话,建议除了能够扫描档案以外
最好也要能够有过滤URL的功能
因为目前的攻击套件包已经能够在不写入硬盘/档案系统的情况下
直接将下载的病毒在内存内执行起来
所以只能够扫描档案的防毒软件,即使有病毒码
可能也阻挡不到真正的病毒,细节请参考 附录3
附录1: https://goo.gl/y8n0Ep
附录2: https://goo.gl/3rQHjP
附录3: https://goo.gl/2zjhf1