[重要] 如何防範【勒索軟體】綁架你的電腦、加密你的檔案、跟你要錢?
最近兩年,因為有利可圖而且獲得贖金的機率越來越高,類似 WanaCrypt0r 2.0, TorLocker, TorrentLocker, CryptoLocker 或 CryptoWall 等綁架軟體的東西越來越多,甚至還發展出專門針對知名遊戲的綁架軟體 TeslaCrypt。
主要途徑除了透過「社交工程」或其他方式誘騙使用者執行看起來像一般帳單、有 .exe 副檔名的 Word 或 PDF 文件、色色的照片或影片的綁架軟體之外,還會透過各種方式亂槍打鳥以病毒或木馬等方式散布這些惡意程式,甚至還會透過區網傳染給辦公室裡的一堆電腦。
等你中標之後,會發現電腦的檔案、照片、文件、Word、Excel…通通都被鎖起來、無法開啟,,
這時候該怎麼辦?通常,只有兩個方法:
一是乖乖付錢然後祈禱他是有良心的壞人(並鼓勵他繼續作惡)。
二是假裝自己沒活過、沒拍過照,整個把電腦格式化、全部心血全刪了,然後再重灌。
這麼悲觀?沒錯,因為就算能透過一些方法把 TorLocker, TorrentLocker 或 CryptoLocker 之類的勒索軟體給移除掉,但是大部份被加密的檔案還是很難解,就算找了密碼專家、超級電腦來一個檔一個檔暴力破解,恐怕付出的成本與時間精力會更高。
那到底該怎麼辦??如何防範?
1.使用 Windows 以外的其他作業系統、不裝 Java 或 Flash Player:
因為這類攻擊大部份都會鎖定最多人使用的 Windows 各版本作業系統,透過其共通的漏洞與安全性弱點來攻擊與散怖,使用其他如 Mac OS X, Ubuntu 或其他版本的 Linux 系統則可避掉大部份針對 Windows 平台的攻擊。這麼說並不是因為 Mac 或 Ubuntu 等系統沒有漏洞或沒有弱點,而是相對來說少一些而且比較少成為攻擊對象。
如果你真的很擔心這類事情一再發生,趕快換用 Mac 或 Linux ,改個使用習慣,你會發現其實在 Windows 以外的世界,一樣有文書處理軟體、一樣可以正常上網、聊天或做各種事情。
另外,能不裝 Java 或 Flash Player 等程式就盡量不要裝、不要用(不管是在哪個作業系統都一樣),雖然這些勒索軟體的問題並不是直接由 Java 或 Flash Player 等程式造成的,但近年來的許多攻擊都是針對 Java 跟 Flash Player 等環境的弱點與漏洞來的(案例:知名攻擊套件已鎖定才剛修補的Flash零時差漏洞,專門安裝勒索軟體),尤其是 Flash Player,只要電腦裡的漏洞多了,很可能透過不同弱點交叉攻擊或在取得權限後進一步植入其他木馬、病毒或惡意程式,不可不防。或者也可使用已內建 Flash Player 的較新版本 Google Chrome 瀏覽器,透過 Chrome 的安全機制將風險限縮在一定範圍內。
2.一定要裝防毒軟體、要更新 Windows Update、怪怪的檔案不要開:
一直到現在還是很多人覺得自己只是上上網而已,不用浪費錢裝什麼防毒軟體。事實上只要你會用電腦連上網、逛網頁、收 Email,就會有很多很多機會接觸到病毒或惡意程式,甚至很多攻擊都是透過網頁、針對瀏覽器而來的。
其實很多免費防毒軟體都已經很好用、很有效果了(推薦使用小紅傘),而且也不太會讓電腦變慢,如果你用的是 Windows 電腦,那至少得裝個防毒軟體監控一下已知病毒與惡意程式。雖然說很多新型態的惡意程式並不一定會被防毒軟體給偵測、阻擋下來,但至少一些已知病毒木馬或有問題的檔案會先警告你。
另外,還要記得定期更新防毒軟體病毒碼與作業系統的修補程式,尤其使用 Windows 系統的話一定要常常更新 Windows Update 把漏洞補一補。
最重要的是盡量少開一些怪怪的檔案,如果你覺得寄件者不認識,或者寄來的信件標題或內容有點怪怪的,就不應該亂點亂開。
3.備份!備份!備份!一定要用外接硬碟備份!
備份檔案這種事情不用講了,重要檔案一定要定期備份(重點在定期、常常備份),而且必須使用外接硬碟、USB隨身碟、記憶卡或燒成光碟等方式做備份(雲端備份也可以)。
因為當電腦病毒肆虐、開始加密你電腦中的所有文件、照片或影片檔時,萬一妳的外接硬碟或 USB 隨身碟、記憶卡還連接著電腦,那一定會被牽連、跟著被加密了!所以為了避免被波及,一定要定期針對重要資料另外備份,不要只是放在同一台電腦或區網裡的其他電腦,而是一定要備份到外接儲存設備,備份完後把線拔掉、另外收起來放!
看起來很麻煩?對,是很麻煩,但是跟所有檔案都被綁架、加密比起來,你會慶幸還好有備份!
已經中標的話,該怎麼辦?
- 發現電腦有異常、開始出現檔案被加密無法開啟等狀況時,馬上拔掉網路線,避免病毒透過區域網路傳染給辦公室或家裡的其他電腦。
- 如果檔案加密的工作還沒全部執行完成,馬上關機、把硬碟拔起來再用其他電腦(最好是 Linux 或 Mac)去讀硬碟,看看能不能把未被加密的檔案救出來,也許還有一點點機會。
- 認了,付錢,然後祈禱他是個有良心的壞人。
- 完整格式化硬碟、清乾淨後,重灌電腦。
- 記住這次教訓,要常備份、要裝防毒軟體並更新 Windows Update、少開奇怪檔案。
- 哭哭….
您好!
我的副檔名都變成micro了
我朋友幫我把C槽格式化重灌,結果也不行
剛剛抓了TeslaDecrypter來用
可是他搜不到KEY,所以顯示error然後按一下接關閉了
電腦裡的how_recover的檔案也都不見了
這樣還有救嗎??
那個重灌前一定要把文件刪掉?
我的檔名被改成MICRO
不知道有沒有救………
我的檔名是被改成micro
那可以直接換一個新的硬碟嗎?
系統要重灌喔.. 不然換新硬碟上去還是一樣。
你好:我前幾天發現我的圖片和錄影檔也被綁架了!
檔名都是.vvv
how_recover+luy.txt內容如下
請問有什麼方法可以救嗎?!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://k5fxm4dl35qk323d.justmakeapayment.com/6EC8B6567CF728ED
2. http://phfnchd6d3frwe84.brsoftpayment.com/6EC8B6567CF728ED
3. http://tsbfdsv.extr6mchf.com/6EC8B6567CF728ED
4. https://o7zeip6us33igmgw.onion.to/6EC8B6567CF728ED
5. https://o7zeip6us33igmgw.tor2web.org/6EC8B6567CF728ED
6. https://o7zeip6us33igmgw.onion.cab/6EC8B6567CF728ED
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: o7zeip6us33igmgw.onion/6EC8B6567CF728ED
4. Follow the instructions on the site.
IMPORTANT INFORMATION:
Your personal pages:
http://k5fxm4dl35qk323d.justmakeapayment.com/6EC8B6567CF728ED
http://phfnchd6d3frwe84.brsoftpayment.com/6EC8B6567CF728ED
http://tsbfdsv.extr6mchf.com/6EC8B6567CF728ED
https://o7zeip6us33igmgw.onion.to/6EC8B6567CF728ED
Your personal page (using TOR-Browser): o7zeip6us33igmgw.onion/6EC8B6567CF728ED
Your personal identification number (if you open the site (or TOR-Browser’s) directly): 6EC8B6567CF728ED
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
我的電腦也是這樣
最後你怎樣補救?
一定要format過嗎
您好:
我前天發現我的電腦也是被綁架照片及錄影檔
圖片檔名被改成.JPG.VVV,或者是.VVV
請問我有什麼辦法可救?!
如果外接硬碟本身有硬體加密還會被病毒加密嗎?
http://www.nownews.com/n/2015/11/27/1900108
版大的解法似乎不適用
中了CryptoWall這個的毒,資料夾都會有以下四個檔
HELP_DECRYPT.HTML
HELP_DECRYPT.png
HELP_DECRYPT.txt
HELP_DECRYPT
爬過很多文,目前無解,外有人付費,結果還是解不開,
公司電腦也是中這個全部文件、圖檔和壓縮檔全掛
這幾個檔案內容為何?被加密的副檔名為何?看看是否有key的資訊在裏頭,不同的病毒名稱,有人寫的解密程式也不同。現在無解可先將被加密檔案留存,但往後看是否有機會解開。
請問電腦重灌了,還能用TeslaDecrypter救嗎?
每個資料夾都出現_how_recover_ter.HTML及_how_recover_ter.TXT
how_recover_ter.TXT
的內容為何?
請問一下電腦若重灌了,還可以能用TeslaDecrypter救嗎?!
可能要先用救援軟體把那些被格式化重灌的檔案救回再看看是否能救
您好:我也是今天開電腦,才發現跳出一個視窗顯示我中了 Crypt0L0cker這個病毒,並要我點出付錢的視窗,且我的所有word ,pdf,xls,jpg,rmvb等所有檔案皆變為ENCRYPTED檔案加密,無法開啟!裡面有很多珍貴的資料,可以請您教我該如何移除病毒並且救回檔案嗎?
因為有爬文一下並載TESLAdECRYPTER.exe想找出病毒並移除,但都無法成功,只能向板上的各位尋求幫助了,謝謝!
你要將完整訊息貼出,中毒檔案附檔名為何,中毒後生成那些檔案,檔案內容為何?才能分析是否有救。
前天被綁架了…
副檔名encrypted
有使用TeslaDecrypter
但是KEY檔案他都抓不到
執行畫面有顯示Error: Invalid command line!
不曉得有沒有人解出來了…
TeslaDecrypter版本為0.2.0.1
你們要將完整訊息貼出,中毒檔案附檔名為何,中毒後生成那些檔案,檔案內容為何?才能分析是否有救。
key檔案,中毒加密後生成的檔案,檔名不一定是key命名
已經把電腦重灌 被加密的檔案移到隨身硬碟..
有用HIPS之類的防毒軟體理論上就比較擋得住 不過遇到什麼都按YES的使用者那也沒用