[重要] 如何防範【勒索軟體】綁架你的電腦、加密你的檔案、跟你要錢?

最近兩年,因為有利可圖而且獲得贖金的機率越來越高,類似 WanaCrypt0r 2.0, TorLocker, TorrentLocker, CryptoLocker 或 CryptoWall 等綁架軟體的東西越來越多,甚至還發展出專門針對知名遊戲的綁架軟體 TeslaCrypt。

主要途徑除了透過「社交工程」或其他方式誘騙使用者執行看起來像一般帳單、有 .exe 副檔名的 Word 或 PDF 文件、色色的照片或影片的綁架軟體之外,還會透過各種方式亂槍打鳥以病毒或木馬等方式散布這些惡意程式,甚至還會透過區網傳染給辦公室裡的一堆電腦。

 

 

 

等你中標之後,會發現電腦的檔案、照片、文件、Word、Excel…通通都被鎖起來、無法開啟,如果要使用原本的檔案的話,則會跳出一個說明視窗要你付錢、解鎖。很多「有良心」的壞人在你付錢之後會給你檔案讓你順利解鎖、使用原本的檔案。有些收了錢就不管你了,繼續去毒害其他人,你就算恨死他、罵出所有髒話,還是救不回你的所有檔案。

 

這時候該怎麼辦?通常,只有兩個方法:

一是乖乖付錢然後祈禱他是有良心的壞人(並鼓勵他繼續作惡)。

二是假裝自己沒活過、沒拍過照,整個把電腦格式化、全部心血全刪了,然後再重灌。

 

這麼悲觀?沒錯,因為就算能透過一些方法把 TorLocker, TorrentLocker 或 CryptoLocker 之類的勒索軟體給移除掉,但是大部份被加密的檔案還是很難解,就算找了密碼專家、超級電腦來一個檔一個檔暴力破解,恐怕付出的成本與時間精力會更高。

 

 

那到底該怎麼辦??如何防範?

1.使用 Windows 以外的其他作業系統、不裝 Java 或 Flash Player:

因為這類攻擊大部份都會鎖定最多人使用的 Windows 各版本作業系統,透過其共通的漏洞與安全性弱點來攻擊與散怖,使用其他如 Mac OS X, Ubuntu 或其他版本的 Linux 系統則可避掉大部份針對 Windows 平台的攻擊。這麼說並不是因為 Mac 或 Ubuntu 等系統沒有漏洞或沒有弱點,而是相對來說少一些而且比較少成為攻擊對象。

如果你真的很擔心這類事情一再發生,趕快換用 Mac 或 Linux ,改個使用習慣,你會發現其實在 Windows 以外的世界,一樣有文書處理軟體、一樣可以正常上網、聊天或做各種事情。

另外,能不裝 Java 或 Flash Player 等程式就盡量不要裝、不要用(不管是在哪個作業系統都一樣),雖然這些勒索軟體的問題並不是直接由 Java 或 Flash Player 等程式造成的,但近年來的許多攻擊都是針對 Java 跟 Flash Player 等環境的弱點與漏洞來的(案例:知名攻擊套件已鎖定才剛修補的Flash零時差漏洞,專門安裝勒索軟體),尤其是 Flash Player,只要電腦裡的漏洞多了,很可能透過不同弱點交叉攻擊或在取得權限後進一步植入其他木馬、病毒或惡意程式,不可不防。或者也可使用已內建 Flash Player 的較新版本 Google Chrome 瀏覽器,透過 Chrome 的安全機制將風險限縮在一定範圍內。

 

 

2.一定要裝防毒軟體、要更新 Windows Update、怪怪的檔案不要開:

一直到現在還是很多人覺得自己只是上上網而已,不用浪費錢裝什麼防毒軟體。事實上只要你會用電腦連上網、逛網頁、收 Email,就會有很多很多機會接觸到病毒或惡意程式,甚至很多攻擊都是透過網頁、針對瀏覽器而來的。

其實很多免費防毒軟體都已經很好用、很有效果了(推薦使用小紅傘),而且也不太會讓電腦變慢,如果你用的是 Windows 電腦,那至少得裝個防毒軟體監控一下已知病毒與惡意程式。雖然說很多新型態的惡意程式並不一定會被防毒軟體給偵測、阻擋下來,但至少一些已知病毒木馬或有問題的檔案會先警告你。

另外,還要記得定期更新防毒軟體病毒碼與作業系統的修補程式,尤其使用 Windows 系統的話一定要常常更新 Windows Update 把漏洞補一補。

最重要的是盡量少開一些怪怪的檔案,如果你覺得寄件者不認識,或者寄來的信件標題或內容有點怪怪的,就不應該亂點亂開。

 

 

3.備份!備份!備份!一定要用外接硬碟備份!

備份檔案這種事情不用講了,重要檔案一定要定期備份(重點在定期、常常備份),而且必須使用外接硬碟、USB隨身碟、記憶卡或燒成光碟等方式做備份(雲端備份也可以)。

因為當電腦病毒肆虐、開始加密你電腦中的所有文件、照片或影片檔時,萬一妳的外接硬碟或 USB 隨身碟、記憶卡還連接著電腦,那一定會被牽連、跟著被加密了!所以為了避免被波及,一定要定期針對重要資料另外備份,不要只是放在同一台電腦或區網裡的其他電腦,而是一定要備份到外接儲存設備,備份完後把線拔掉、另外收起來放!

看起來很麻煩?對,是很麻煩,但是跟所有檔案都被綁架、加密比起來,你會慶幸還好有備份!
已經中標的話,該怎麼辦?

  1. 發現電腦有異常、開始出現檔案被加密無法開啟等狀況時,馬上拔掉網路線,避免病毒透過區域網路傳染給辦公室或家裡的其他電腦。
  2. 如果檔案加密的工作還沒全部執行完成,馬上關機、把硬碟拔起來再用其他電腦(最好是 Linux 或 Mac)去讀硬碟,看看能不能把未被加密的檔案救出來,也許還有一點點機會。
  3. 認了,付錢,然後祈禱他是個有良心的壞人。
  4. 完整格式化硬碟、清乾淨後,重灌電腦。
  5. 記住這次教訓,要常備份、要裝防毒軟體並更新 Windows Update、少開奇怪檔案。
  6. 哭哭….

 

 

Ransomware

相關資訊
訪客留言

88 則回應

  1. 下午更新
    Windows10功能更新版本1703和適用於x64系統 Windows10 Version 1703的Adobe Flash Player安全性更新(KB4020821)這兩項,之後按進Windows Defender資訊安全中心,有顯示裝置已受保護,但唯獨裝置效能與健康情況顯示不須採取動作,點進去也顯示無法使用健康情況報告。
    請問 這算是正常嗎?

  2. 推薦使用小紅傘 <-不會吧?都已經有報告出了這個病毒在進病毒庫前有那些防毒能主動防禦,Avira跟本是完全陣亡,連警報也沒有,再加上現在越弄越差超吃資源…… 這兩三年跟本除了BitDefender和卡巴,其他都不列入考慮還不如不裝吧…

  3. 很可惜的是,使用謎版作業系統的用戶是無法更新2017年發佈的漏洞修補程式,也就是說根本之道不是換用MAC、Linux之外,就是”請購買正版軟體”,堅持使用謎版的用戶,就請認真點天天收集訊息把會被入侵的網路埠一個個手動擋起來,看誰撐得久了。

  4. 您好,想問一下,剛剛在防火牆的規則中加入封鎖特定的幾個port(來源ptt找的),135/TCP,UDP
    137/TCP,UDP->NetBIOS
    138/TCP,UDP->NetBIOS
    139/TCP,UDP->NetBIOS
    445/TCP,UDP->SMB服務(據說是這一次的主角)
    其他像是593 1025 3389(遠端桌面協定) 這些用不到也可以一起關閉
    ,請問這樣有用嗎…? (防火牆參考http://www.synnex.com.tw/asp/fae_qaDetail.asp?topic=FAE&classifyid=01997&seqno=21793方法)

      1. 謝謝~好快的回覆(嚇),win10,1607版本升了20幾次升不上去…只好想點其他辦法,如果有其他推薦關掉port,還請告訴我~謝謝

      2. 那個啊…聽說不能調整顯示字的大小(有方法但要查),連mactype也要想辦法更新,讓我再猶豫一陣子,還是謝謝囉! ps.被秒回很開心

    1. 大部分會更改副檔名以便識別,當然也有不改的,不過如果有些有被改掉,有些沒有,那有可能還沒處理到那邊。

      最好是馬上拔網路線、關電源,然後把硬碟拔下來用外接硬碟的方式拿到 Mac 或 Linux 電腦去備份檔案。