[重要] 如何防範【勒索軟體】綁架你的電腦、加密你的檔案、跟你要錢?
最近兩年,因為有利可圖而且獲得贖金的機率越來越高,類似 WanaCrypt0r 2.0, TorLocker, TorrentLocker, CryptoLocker 或 CryptoWall 等綁架軟體的東西越來越多,甚至還發展出專門針對知名遊戲的綁架軟體 TeslaCrypt。
主要途徑除了透過「社交工程」或其他方式誘騙使用者執行看起來像一般帳單、有 .exe 副檔名的 Word 或 PDF 文件、色色的照片或影片的綁架軟體之外,還會透過各種方式亂槍打鳥以病毒或木馬等方式散布這些惡意程式,甚至還會透過區網傳染給辦公室裡的一堆電腦。
等你中標之後,會發現電腦的檔案、照片、文件、Word、Excel…通通都被鎖起來、無法開啟,,
這時候該怎麼辦?通常,只有兩個方法:
一是乖乖付錢然後祈禱他是有良心的壞人(並鼓勵他繼續作惡)。
二是假裝自己沒活過、沒拍過照,整個把電腦格式化、全部心血全刪了,然後再重灌。
這麼悲觀?沒錯,因為就算能透過一些方法把 TorLocker, TorrentLocker 或 CryptoLocker 之類的勒索軟體給移除掉,但是大部份被加密的檔案還是很難解,就算找了密碼專家、超級電腦來一個檔一個檔暴力破解,恐怕付出的成本與時間精力會更高。
那到底該怎麼辦??如何防範?
1.使用 Windows 以外的其他作業系統、不裝 Java 或 Flash Player:
因為這類攻擊大部份都會鎖定最多人使用的 Windows 各版本作業系統,透過其共通的漏洞與安全性弱點來攻擊與散怖,使用其他如 Mac OS X, Ubuntu 或其他版本的 Linux 系統則可避掉大部份針對 Windows 平台的攻擊。這麼說並不是因為 Mac 或 Ubuntu 等系統沒有漏洞或沒有弱點,而是相對來說少一些而且比較少成為攻擊對象。
如果你真的很擔心這類事情一再發生,趕快換用 Mac 或 Linux ,改個使用習慣,你會發現其實在 Windows 以外的世界,一樣有文書處理軟體、一樣可以正常上網、聊天或做各種事情。
另外,能不裝 Java 或 Flash Player 等程式就盡量不要裝、不要用(不管是在哪個作業系統都一樣),雖然這些勒索軟體的問題並不是直接由 Java 或 Flash Player 等程式造成的,但近年來的許多攻擊都是針對 Java 跟 Flash Player 等環境的弱點與漏洞來的(案例:知名攻擊套件已鎖定才剛修補的Flash零時差漏洞,專門安裝勒索軟體),尤其是 Flash Player,只要電腦裡的漏洞多了,很可能透過不同弱點交叉攻擊或在取得權限後進一步植入其他木馬、病毒或惡意程式,不可不防。或者也可使用已內建 Flash Player 的較新版本 Google Chrome 瀏覽器,透過 Chrome 的安全機制將風險限縮在一定範圍內。
2.一定要裝防毒軟體、要更新 Windows Update、怪怪的檔案不要開:
一直到現在還是很多人覺得自己只是上上網而已,不用浪費錢裝什麼防毒軟體。事實上只要你會用電腦連上網、逛網頁、收 Email,就會有很多很多機會接觸到病毒或惡意程式,甚至很多攻擊都是透過網頁、針對瀏覽器而來的。
其實很多免費防毒軟體都已經很好用、很有效果了(推薦使用小紅傘),而且也不太會讓電腦變慢,如果你用的是 Windows 電腦,那至少得裝個防毒軟體監控一下已知病毒與惡意程式。雖然說很多新型態的惡意程式並不一定會被防毒軟體給偵測、阻擋下來,但至少一些已知病毒木馬或有問題的檔案會先警告你。
另外,還要記得定期更新防毒軟體病毒碼與作業系統的修補程式,尤其使用 Windows 系統的話一定要常常更新 Windows Update 把漏洞補一補。
最重要的是盡量少開一些怪怪的檔案,如果你覺得寄件者不認識,或者寄來的信件標題或內容有點怪怪的,就不應該亂點亂開。
3.備份!備份!備份!一定要用外接硬碟備份!
備份檔案這種事情不用講了,重要檔案一定要定期備份(重點在定期、常常備份),而且必須使用外接硬碟、USB隨身碟、記憶卡或燒成光碟等方式做備份(雲端備份也可以)。
因為當電腦病毒肆虐、開始加密你電腦中的所有文件、照片或影片檔時,萬一妳的外接硬碟或 USB 隨身碟、記憶卡還連接著電腦,那一定會被牽連、跟著被加密了!所以為了避免被波及,一定要定期針對重要資料另外備份,不要只是放在同一台電腦或區網裡的其他電腦,而是一定要備份到外接儲存設備,備份完後把線拔掉、另外收起來放!
看起來很麻煩?對,是很麻煩,但是跟所有檔案都被綁架、加密比起來,你會慶幸還好有備份!
已經中標的話,該怎麼辦?
- 發現電腦有異常、開始出現檔案被加密無法開啟等狀況時,馬上拔掉網路線,避免病毒透過區域網路傳染給辦公室或家裡的其他電腦。
- 如果檔案加密的工作還沒全部執行完成,馬上關機、把硬碟拔起來再用其他電腦(最好是 Linux 或 Mac)去讀硬碟,看看能不能把未被加密的檔案救出來,也許還有一點點機會。
- 認了,付錢,然後祈禱他是個有良心的壞人。
- 完整格式化硬碟、清乾淨後,重灌電腦。
- 記住這次教訓,要常備份、要裝防毒軟體並更新 Windows Update、少開奇怪檔案。
- 哭哭….
真不幸今天上午也中獎,請問將window所在的Disk C: 格式化後,如果中奬時電腦有其它硬碟,重灌後會出事嗎,謝謝
有機會會中,要掃毒看看。
01 有幾位就是使用小紅傘中毒 包括使用正版的
現階段的防毒軟體不一定能擋得下來.. 尤其現在很多瀏覽個網頁不小心按到什麼東西就會中了..
我的照片也被加密了,我不會使用那些電腦程式,請問有誰願意幫我解密呢?正在苦惱的人
中毒被加密的副檔名為何?
我也中了,回復也沒用,更慘的是我是公司的電腦,理面一堆資料,真的不知道該怎麼辦
妳沒看我舊留言的解法試試。
不來恩您好,同事的家用電腦也中標,因為她所有的照片,都是自己小孩從出生到現在的照片,還有許多公務上的資料,請問除了給錢之外,還有其它的辦法嗎?不知能不能求助於您~非常感謝您的幫忙^^
TO 小玲兒:
你可以看一下我先前的舊留言,我也是中了,最後自己找到方法救回,你可以看看是否跟我中的一樣。如果你的系統是WIN7或WIN8系統,我先前查的友人說直接用內建系統還原到你中的前一天應該就可以救回來,不過我的系統不是所以沒有試過行不行。
HELP你好:可以請問一下你的key.dat是由哪邊找出來的呢?目前我這邊也中獎好幾台。
to vanlife 你就用電腦系統的搜尋檔案功能找,先把隱藏檔全部顯示在搜尋,因為我中的是有留key.dat,所以不知你中是否會留下解開的key檔案,也許他會變不同名稱也有可能,你就搜尋*.dat,把所有的附檔名dat找出,然後看其建立日期去判斷中毒的那一天,你逐一就把它點開,找出裏頭會有勒索程式要你上傳的一組序號,假設序號是123456….。然後他會有另一組的解開序號,如:0987654321….,總之是可以看的出來。有他這樣才能讓TeslaDecrypter幫你解加密。
忘記把名稱改成HELP變成名稱顯示訪客了
你也可以用RECOVERY_FILE.txt這的檔案,他每個加密資料夾都會生成,我看他的資料內容其實跟key.dat一樣,所以把他檔案名稱及附檔名改成key.dat後,看看TeslaDecrypter時否讀的到他來解加密。
有沒有限制或禁止電腦加密的軟體,一般人很少用到加密這功能,這問題應該要由微軟在系統上,直接管制加密功能,才能全面性預防,如解決巨集病毒一樣
這個加密不是系統內建的功能,是惡意程式搞的鬼
加密的運算是軟體本身自己帶的,不是調用系統的其他程式。所以軟體只要有讀取與寫入硬碟資料的權限就可以加密了。另外一般人也不是用不到加密,像是有設密碼的wifi連線、Line訊息的傳輸…。它一直都在,只是我們平時不知道而已。
首先要看你被加密的附檔名為何?然後到https://github.com/vrtadmin/TeslaDecrypt/tree/master/Windows
下載TeslaDecrypt_exe這個解密程式,這是cisco systems inc.開發的,我當初下載的版本是0.1.0.2(不知現在是否有新版的)只能解副檔名ecc,不過我中的是新變種附檔名是ezz,所以一開始測試是無法解開,之後我嘗試將所有ezz改成ecc,我利用文件檔(.txt)在裏頭打入rename *.ezz *.ecc然後將此檔案txt副檔名改成bat,它就變成一個執行檔,直接點兩下會自動幫你更改附檔名。我就利用搜尋資料夾功能找出每個被加密檔案的資料,再將這個執行檔放入每一個資料夾點選,讓附檔名變成TeslaDecrypt_exe可以解的ecc。同時也將TeslaDecrypt_exe放入每個資料夾。因為我是工作用的電腦中的,所以資料都是有分類,因不想影響分類,所以才逐一放。如果你的不需分類,只需用搜尋功能將檔案全部找出集中一起變更附檔名,在一次解密也行。而這只是改副檔名方法。重點是你一定要找到被加密完後所留下的key.dat這很重要,他裏頭紀錄加密資訊。如果沒這檔案,有解密程式也無法解。另外,還有一個log.html,他是記錄你被加密的程式及路徑,你可以知道那些檔案被加密。這兩個檔案可以用搜尋方式找出。我的是在我電腦的使用者名稱下資料夾找到的。會找這些檔案,是因為中了,他會變更資料所以日期也會改變,所以我找出中的時間點把檔案抓來查看而發現的。
而解法就是將TeslaDecrypter.exe,key.bat,被加密的檔案及自做變更檔名的執行檔都放在一起,放在同一個資料夾,這樣最快解。先執行變更副檔名後,在執行TeslaDecrypter.exe,它會自動讀資料夾中的key.bat。然後TeslaDecrypter.exe程式會問你要自動解硬碟裡頭被加密的資料,還是單獨的資料夾。你就打no,他就會解你的這個資料夾的加密資料。如果檔案多會跑很久可能幾小時都可能,我有3萬多筆資料被加密,所以也跑很久。選yes也可以不過我試過TeslaDecrypter.exe跑完只會解你放的資料夾,我猜可能是程式不知道路徑所以無法解,而我說的log.html這個被加密的路徑檔案,因為TeslaDecrypter.exe不會去讀他,我有試過放一起解。最後解完就是會而外一個正常的檔案,另一個是被加密的檔案,他不是自己變正常檔案,而是生出正常的檔案,跟解壓縮一樣,我想是TeslaDecrypter.exe程式的設計,以不影響原始被加密的檔案。
最後檔案就回來掀開看看是否正常,如正常再統一將加密檔全刪除即可。
如有不清楚可在留言討論。
另外,每個被加密的資料夾也都會有一個HELP_TO_SAVE_FILES.txt的檔案,他裏頭就是寫的就是我原先po文的內容。
所以要看你中的是哪一種,因為每一種解法可能都不同,我有試過舊的解法都不行,最後看的po才更了解這綁架軟體,進而找到方法把檔案全救回來的。
另外RECOVERY_FILE.txt我是沒用到,不過裏頭的內容是跟key.dat是一樣的,而這些檔案就是可以讓你解密的,幸好有人寫解密程式,而這些資料就是將資料解回來的關鍵資訊。
很棒的分享
Help你好!可以分享解決辦法
已分享我遇到後自己找到解法。
help大大~請問您是如何救回檔案?可以分享一下嗎?我也中了耶!請幫幫忙~
現在才看到,也已分享,希望可以幫上忙。
help大大~請問您是如何救回檔案?可以分享一下嗎?我也中了耶!
現在才看到,也已分享,希望可以幫上忙。
其實還有一個很有效預防的方法: 開啟顯示副檔名的功能
這樣便可有效減低誤按 exe 檔、bat 檔的機會
你說的方法是有點用,我也是都開啟副檔名顯示,不過我不是按檔案中的。我是被駭客直接入侵電腦的。我有查我自己的電腦相關資料。當初電腦都沒有上網使用,只有開著而網路是連線著,之後發現硬碟一直讀,查工作管理員cpu也沒異常,而我桌面檔案也都正常,重開機還是一直讀,然後防毒也沒警示。我以為是防毒或系統在耕莘就不管他。隔天才發現資料被加密,而防毒軟體有自動更新病毒碼才發現隔離,所以我沒有全部的檔案被加密。
我碰到的案例也是該使用者「不小心開啟看似正常的pdf檔」,之後就是所有的文件圖檔都被鎖了,桌面上出現許多特定名字的txt和html檔,大意都是說如果你想要你的檔案回來,請支付bitcoin到某某帳戶。
最後是直接使用備份檔案,因為無法確認就算真的匯了錢,是不是真的就會給你解碼程式…
解碼程式現在有人寫,不過key是在中毒的電腦裡,你支付,他會要你傳給他一些資料如一成串的序號等等,這資料就是對應電腦中的key,而對方才能知道是哪一個key的。你付錢他也才能解,但因為無法確認就算真的匯了錢是否可以解,所以我也沒付錢,不過我猜病毒本身就是一個加密及解密的程式。
最近正好看到: 「小心TeslaCrypt勒索軟體,專門綁架知名遊戲」 http://www.ithome.com.tw/news/94542 不過英文報導說這一支正好有解,因為作者太懶: 「TeslaCrypt Isn’t All That Cryptic」 http://yro.slashdot.org/story/15/04/28/1431252/teslacrypt-isnt-all-that-cryptic 「Threat Spotlight: TeslaCrypt – Decrypt It Yourself」 http://blogs.cisco.com/security/talos/teslacrypt
我電腦中了,不過防毒最後有擋下,所以檔案沒有全部被加密,也就是沒有完全,所以沒有相關的程式跳出。不過被感染的都有留下資訊如下:
檔案名稱:HELP_TO_SAVE_FILES.txt檔。
內容:
All your documents, photos, databases and other important files have been encrypted
with strongest encryption RSA-2048 key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.
If you see the main encryptor red window, examine it and follow the instructions.
Otherwise, it seems that you or your antivirus deleted the encryptor program.
Now you have the last chance to decrypt your files.
Open http://qcuikaiye577q3p2.aenf387awmx28.com or http://qcuikaiye577q3p2.od9wjn4iene29.com ,
https://qcuikaiye577q3p2.s5.tor-gateways.de/ in your browser.
They are public gates to the secret server.
Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.
188GiV2FHfSafPaLaGYuThDkQnoeQpCWKu
Follow the instructions on the server.
If you have problems with gates, use direct connection:
1. Download Tor Browser from http://torproject.org
2. In the Tor Browser open the http://qcuikaiye577q3p2.onion/
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.
Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.
188GiV2FHfSafPaLaGYuThDkQnoeQpCWKu
Follow the instructions on the server.
————————————————
還有一個檔案名稱:RECOVERY_FILE.txt檔
內容:
188GiV2FHfSafPaLaGYuThDkQnoeQpCWKu
B883FB8CF221DE96549B17C214D447C51F3928F3D194ACFAAEAF52A14DDC740F
5D73AB87F24BD483CFD67D2D75676F2D341A978A53B818DFF1ABEB88E4BB0058B2070F64307A6C6835629C373456C636CEDDAA1246547E9423DB132BE26343BA
————————————————————————————————-
另有一個log.html檔案,裏頭寫的都是被加密的檔案路徑。
也有一個key.dat檔,
內容:
188GiV2FHfSafPaLaGYuThDkQnoeQpCWKu ????T??隼?9(鯬爹﹐鈙 5D73AB87F24BD483CFD67D2D75676F2D341A978A53B818DFF1ABEB88E4BB0058B2070F64307A6C6835629C373456C636CEDDAA1246547E9423DB132BE26343BA 砣r鏕E`6湴賒?cR?幎{??籚{簀[ 薣仕蜇[ I:蛓娗? ? ¬i s miT? ? : ? a?衷 g???k???6= d[菲ㄧ?
2?U 嚝冤
———————–
這樣檔案有救嗎?因為樓上有人提供方法及程式,不過我還沒試。
因為被加密的附檔名是ezz而非ecc。有針對.ezz的解救方法嗎?謝謝!
我已經找到方法,救回檔案了。我是中了AlphaCrypt。
大大~可以分享一下如何回覆檔案嗎?因為我中招了~感恩您~