本文同时发布在Mobile01:
http://0rz.tw/uiUHe
以及巴哈:
http://0rz.tw/2LVst(讨论板)
http://0rz.tw/A8ezo(小屋)
================================
因为作者偷懒,
PTT的此篇文不再更新,请至巴哈或01观看最新版本。
================================
稍微考虑一下还是把文PO过来了....
(对BBS排版苦手,若喜欢彩色版的请去01或巴哈看,谢谢!)
以下内容为个人这段时间以来看过各方说法及资料汇集而成的,
若有错误或需要补充的地方还请告诉我。
本篇将以“勒索病毒”进行“简易”的介绍。
==========
Q1.“勒索病毒”是什么?
A1.勒索病毒不同于一般病毒,
他是使用系统允许的方式进行档案加密,
让使用者若没有该密码便无法开启档案,,
接着,在对想开却无法开启档案的使用者进行勒索,
目前的勒索多为以比特币(bitcoin)来付赎金,
接着,在受害者付完赎金之后给予“一次性”的解密程式,
使受害者得以将档案复原。
但另一方面,也不是没有被撕票的可能,
因此,付完赎金之后只是“有机会”救回档案资料。
Q2.防毒软件可以挡下“勒索病毒”吗?
A2.虽然有些防毒软件有主打预防“勒索病毒”,
但至今为止仍未有任何一家防毒软件可以100%预防,
顶多能降低风险。
另、有些人会推荐同时使用两款防毒软件,
但依据尤金卡巴斯基的说明,装两款防毒软件技术上是不可行的,
不过可安装一个“防毒软件(AntiVirus)”和一个“防恶意软件(AntiMalware)”
的程式。(5/10更新)
(megakotaro/mobile01补充及说明)<<部分详细说明未放上来,请至原串看。
Q3.只要不去奇怪的网页、不乱下载就不会有问题了吗?
A3.非也,勒索病毒通常会透过flash的漏洞使使用者中毒,
或是借由冒充成常见软件等方式来使使用者同意他们做乱。
亦或是前阵子也有出现过“主动攻击”win7系统的漏洞,
使win7使用者中镖,以上几种除了自己同意病毒做乱以外,
不管是透过flash使电脑中镖,或是主动攻击win7漏洞,
都是在加密完成前很难以察觉的。
另、开启远端功能也有机会中镖,如CRYSIS可暴力破解远端连线的密码。(5/10更新
)
(megakotaro/mobile01补充及说明)<<部分未放上的内容可原串观看。
Q4.那要如何预防“勒索病毒”?
A4.先简单列出几个要特别留意的点,
而详细说明的部分,则会放到本项目的最后。
1.不要乱点连结、不要在官网以外的地方“更新”任何东西。
2.升至Win10,并将系统更新至最新。
3.移除flash,并将chrome升级为新版。
4.安装Adblock等挡广告的插件。
5.安装具有防堵勒索病毒的防毒软件。
6.虽然说不上预防,但可以使用他人所制作的脚本来减低中镖时的损失。
(详情请参考:http://0rz.tw/yQWtP)
(另推荐Cybereason RansomFree,与上述的脚本类似,侦测到加密行为时会跳框并阻
止)(5/10更新)(megakotaro/mobile01补充及说明-部分未放上的内容可至原串观看)
7.虽然不是预防勒索病毒本身,
为维护资料安全,请至少以三种不同的形式进行备份,
并且至少有一种方式要为异地备份(如云端)。
8.另外,为确保加密早期(档案还未加密完毕时)可及早发现,尽量避免长时间挂网。
9.进行“权限控管”,让“一般使用者”的权限降低,防止勒索软件写入系统档。(5/10
更新)(megakotaro/mobile01补充及说明)<<部分未放上的内容可至连结内观看
10.关闭内建远端。(5/12更新)
详细说明:
关于第一点,基本上很多对电脑资安不熟的人很容易犯这种错误,
像是这次中毒者很多都是点选了在伊莉出现的假flash更新,
而该flash里面除了真正的flash以外,
还夹带了木马程式,
接着,当勒索病毒借由木马程式进入受害者的电脑中之后,
便开始进行加密及勒索的动作,
但这部分因为是受害者自行放任病毒在自己的电脑里做乱,
因此即便是win10也是会中镖的。(目前win10中镖案例皆为此种)
所以若需要对程式或系统进行升级,请至官网最为保险,
千万不要因为他跳出来了,就点选下载或安装。
之前在yahoo也有出现过广告中被夹带勒索病毒而使大量电脑中奖的例子。
第二点:
前阵子曾有一波专门“主动攻击”win7系统的漏洞,
并使win7使用者中勒索病毒(这部分已在3/14有释出系统更新档),
(若仅要针对3/14漏洞补丁进行更新的话,请至http://0rz.tw/Ebj0C下载)
(资料来源:Re: [心得] 两天内家里两台电脑都被勒索/Joba07/PTT)
(注意:但微软一直有针对此部分进行安全性更新,可以的话还是开着自动更新吧!)
而win10相较于win8、win7,系统漏洞较少,
因此就目前为止,较能防范“主动攻击型”的勒索病毒,
且自win8、win10的flash更新是与系统更新一同的,
所以只要自己跳出来说要更新的,
基本上应该都是病毒,较容易辨认。
但win10本身不防使用者自己让病毒在电脑里恶搞。
(因此除了系统防范以外,使用者习惯才是最重要的)
另外,微软也多次针对防堵勒索病毒而提供更新档,
因此建议使用者也要将电脑更新至最新版。
第三点:
建议移除flash,现在看youtube也已不是使用flash了,
而是html5,所以本来使用到flash的机会就少很多了,
再加上移除的话,可以避免因为flash漏洞而中镖。
若不方便移除的话,请更新flash至最新,
且也请将chrome或火狐更新至新版,
新版chrome需经由使用者同意才得以在该网页启用flash,
以避免遇到夹带病毒的flash档。
第四点:
安装挡广告的插件在浏览器上可预防放在广告中的病毒。
根据pcdvd“野口隆史”表示,“挡广告套件原理只是把你不要的网页元素隐藏,实际上
都已经经过浏览器解析了”,所以效用不大,因此“建议用支援http scan的防毒软件会
比较适合”(5/10更新)(megakotaro/mobile01补充及说明)
第五点:
使用防毒软虽无法达到完全防堵,但起码多一个保障。
而有些人推荐同时使用两种防毒软件,但不建议且不可行。
可以安装一款“防毒软件(AntiVirus)”和一个“防恶意软件(AntiMalware)”的程式
。
第六点:
该脚本是为了万一的时候,可以降低损失,
不过似乎已经有...
可以侦测出哪些是常用档案而优先进行加密的勒索病毒了,
但基本上也算是做个保险,反正也不会太吃电脑资源。
第七点:
所谓的备份是不可以跟电脑档案同步的,
且即便是透过外接式硬盘或随身碟等进行备份,
也不可以长时间与电脑连接,
不然万一勒索病毒开始加密了,
便会将那些所谓的“备份”给一起加密,
那备份就没有意义了,因此除了传输档案之外,
请注意权限以及不要将硬盘/随身碟一直插在电脑上。
第九点:(5/12更新)
对于硬盘内资料的存取及修改皆需要一定的权限,将权限降低可以防止勒索软件写入。
(megakotaro/mobile01补充及说明-部分未放上的内容可至连结内观看)
第十点:(5/12更新)
我的电脑/本机>远端设定>将“允许到这部电脑的远端协助连线”的勾勾给取消。
鉴于最近很多人疑似因为远端开起的关系而被植入会引来勒索病毒的东西,
-
补充:
若要使用与本机同步的网络硬盘的话,
建议使用有版本还原功能的,
像是一般人常用的dropbox及google云端皆有网络还原功能,
只是目前两种云端若要还原档案需一个个去点及还原,
稍微有点麻烦,
可考虑使用Crashplan等有还原至特定时间点功能的云端空间。
(感谢阿儒/mobile01补充说明)
Q5.我下载并安装了了伊莉的Flash假档了,该怎么办?
A5.请参考这两篇文章:
http://0rz.tw/UzpeH(有安装依莉假FLASH的参考下/巴哈)
http://0rz.tw/kNUuA(Re: [请益] 最近少去伊莉/PTT)
Q6.我中镖了,而病毒已经开始加密了怎么办?
A6.立即切断网络并立即强制关机,以免灾情扩大,
并将电脑交由专业的人来处理,
千万不要启动防毒软件硬碰硬,
以免原本能救回的档案都无法救回来了。
Q7.我中镖了,且档案已全数被加密完成了。
A7.
1.不要以防毒硬碰硬,以免档案即便解密也无法再开启,
且也有可能因此无法开启付赎金的勒索视窗或下载解密程式。
2.尝试目前部分防毒软件公司所释出的解密工具。
(趋势等公司所释出的解密程式已可解密部分类型)
(或是也有些外国人自己研究出来的解密方式也可以尝试)
3.解密失败的话,请将硬盘留下,可以的话直接拆下保存,
不行的话,请找颗硬盘对拷。
目前很多无论是破解得来或是付赎金得来的解密程式需档案在原处才可复原,
因此不建议搬移,故在这边建议对拷或直接将该硬盘封存。
虽然有些人可能会付赎金让档案还原,
但为不助长此风,因此若自己已有备份的话,
请还是不要付赎金来了事,
除非档案真的很重要且没备份到再考虑,
毕竟也要把被撕票的可能性一起思考清楚。
-
*注1:
“断网”此一动作仅适用于早期刚开始加密,
而与本机同步的网络硬盘尚未将更新档上传完毕的时候,
为保护放在网络硬盘上的档案遭更新(变成已加密档),
因此需要立即断网,
亦可立即强制关机后立即将电脑电源拔除,
使该电脑本身与网络隔绝。
但若已加密完毕或已全数上传、更新完毕的话,则不适用。
(感谢Chark.tw/mobile01补充说明)
Q8.中毒的话是否能请硬盘救援或防毒软件等公司来救资料?
A8.基本上每一只病毒对应每一台电脑时加密的密码都不同,
因此真正的密码只有作者手上才会有,
在此种状况下,也只能用暴力解法,
而在位数多的状况下,使用暴力手法是非常没有效率的,
即便用国家级的超级电脑进行运算,也需要花上非常久的时间,
因此没办法,除非是已有解法被释出了。
==========
==========
目前由防毒软件公司公开的解密工具连结:
趋势科技勒索病毒档案解密工具
http://0rz.tw/9hbyz
-
avast免费勒索软件解密工具
http://0rz.tw/yjrjq
-
ESET - 防毒软件与间谍和程式保护(英文版)
http://0rz.tw/Y8BuX
-
卡巴斯基(Kaspersky)解密工具(英文)
(感谢KevinYu0504/mobile01补充)
http://0rz.tw/IUwO8
-
Emsisoft解密工具(英文)
(感谢KevinYu0504/mobile01补充)
http://0rz.tw/rpbRz
-
McAfee解密工具(英文)
(感谢KevinYu0504/mobile01补充)
http://0rz.tw/lsL4r
-
Dr.Web
该软件使用者可免费解密;否则须另支付一笔费用(5/10更新)
(megakotaro/mobile01补充及说明)
http://0rz.tw/IzQS6
-
用于辨识勒索病毒种类网站
(感谢KevinYu0504/mobile01补充):
https://id-ransomware.malwarehunterteam.com/
使用方式 -
进入网站后,
有三种测试方式,可以选择其中一种即可。
(1).
左边的【Ransom Note】意思就是勒索病毒提供的绑架说明档案,
比较常见的都是 html(网页档)、txt(笔记本档)、jpg(图档) 等等。
如果没有提供任何绑架说明文件,可以跳过。
(2).
右上方的【Sample Encrypted File】意思是你被加密的档案,
请直接用下方的 " 浏览 " 选项,上传随便一个你被加密的档案上去。
(3).
右下方的【Addresses】意思是指地址,可以输入绑架者提供的 电子信箱位置、
勒索说明档案中提供的绑架网址。
找寻到勒索病毒的名字后,可去依关键字寻找解密工具,
若数据库未有建档或无法辨识的话,可能就是变种的病毒。
==========
5/8 文章更新-
WIN7漏洞补丁更新不是四月中,而是3/14,在上方已补上连结,
若要仅针对3/14释出的补丁进行更新的话,请至:
https://support.microsoft.com/zh-tw/help/4012212
(注意:但微软一直有针对此部分进行安全性更新,可以的话还是开着自动更新吧!)
(资料来源:Re: [心得] 两天内家里两台电脑都被勒索/Joba07/PTT)
====
推测win7 1月份的安全性漏洞补丁正是防堵此次假flash player案例中入侵的漏洞,
因此建议win7使用者须连同一月份的KB3216771也一起更新
https://support.microsoft.com/zh-tw/kb/3212646
(资料来源:[情报] Windows Update 2017年1月份更新/PTT)
(感谢hn9480412/PTT补充)
====
Microsoft Update目录(似乎没有中文版,确定有英文版和日文版):
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
(要寻找该次更新版本的话)
(用搜寻或是直接把网址KB后面的数字改成该次版本的数字即可)
==========