[重要] 如何防範【勒索軟體】綁架你的電腦、加密你的檔案、跟你要錢?
最近兩年,因為有利可圖而且獲得贖金的機率越來越高,類似 WanaCrypt0r 2.0, TorLocker, TorrentLocker, CryptoLocker 或 CryptoWall 等綁架軟體的東西越來越多,甚至還發展出專門針對知名遊戲的綁架軟體 TeslaCrypt。
主要途徑除了透過「社交工程」或其他方式誘騙使用者執行看起來像一般帳單、有 .exe 副檔名的 Word 或 PDF 文件、色色的照片或影片的綁架軟體之外,還會透過各種方式亂槍打鳥以病毒或木馬等方式散布這些惡意程式,甚至還會透過區網傳染給辦公室裡的一堆電腦。
等你中標之後,會發現電腦的檔案、照片、文件、Word、Excel…通通都被鎖起來、無法開啟,,
這時候該怎麼辦?通常,只有兩個方法:
一是乖乖付錢然後祈禱他是有良心的壞人(並鼓勵他繼續作惡)。
二是假裝自己沒活過、沒拍過照,整個把電腦格式化、全部心血全刪了,然後再重灌。
這麼悲觀?沒錯,因為就算能透過一些方法把 TorLocker, TorrentLocker 或 CryptoLocker 之類的勒索軟體給移除掉,但是大部份被加密的檔案還是很難解,就算找了密碼專家、超級電腦來一個檔一個檔暴力破解,恐怕付出的成本與時間精力會更高。
那到底該怎麼辦??如何防範?
1.使用 Windows 以外的其他作業系統、不裝 Java 或 Flash Player:
因為這類攻擊大部份都會鎖定最多人使用的 Windows 各版本作業系統,透過其共通的漏洞與安全性弱點來攻擊與散怖,使用其他如 Mac OS X, Ubuntu 或其他版本的 Linux 系統則可避掉大部份針對 Windows 平台的攻擊。這麼說並不是因為 Mac 或 Ubuntu 等系統沒有漏洞或沒有弱點,而是相對來說少一些而且比較少成為攻擊對象。
如果你真的很擔心這類事情一再發生,趕快換用 Mac 或 Linux ,改個使用習慣,你會發現其實在 Windows 以外的世界,一樣有文書處理軟體、一樣可以正常上網、聊天或做各種事情。
另外,能不裝 Java 或 Flash Player 等程式就盡量不要裝、不要用(不管是在哪個作業系統都一樣),雖然這些勒索軟體的問題並不是直接由 Java 或 Flash Player 等程式造成的,但近年來的許多攻擊都是針對 Java 跟 Flash Player 等環境的弱點與漏洞來的(案例:知名攻擊套件已鎖定才剛修補的Flash零時差漏洞,專門安裝勒索軟體),尤其是 Flash Player,只要電腦裡的漏洞多了,很可能透過不同弱點交叉攻擊或在取得權限後進一步植入其他木馬、病毒或惡意程式,不可不防。或者也可使用已內建 Flash Player 的較新版本 Google Chrome 瀏覽器,透過 Chrome 的安全機制將風險限縮在一定範圍內。
2.一定要裝防毒軟體、要更新 Windows Update、怪怪的檔案不要開:
一直到現在還是很多人覺得自己只是上上網而已,不用浪費錢裝什麼防毒軟體。事實上只要你會用電腦連上網、逛網頁、收 Email,就會有很多很多機會接觸到病毒或惡意程式,甚至很多攻擊都是透過網頁、針對瀏覽器而來的。
其實很多免費防毒軟體都已經很好用、很有效果了(推薦使用小紅傘),而且也不太會讓電腦變慢,如果你用的是 Windows 電腦,那至少得裝個防毒軟體監控一下已知病毒與惡意程式。雖然說很多新型態的惡意程式並不一定會被防毒軟體給偵測、阻擋下來,但至少一些已知病毒木馬或有問題的檔案會先警告你。
另外,還要記得定期更新防毒軟體病毒碼與作業系統的修補程式,尤其使用 Windows 系統的話一定要常常更新 Windows Update 把漏洞補一補。
最重要的是盡量少開一些怪怪的檔案,如果你覺得寄件者不認識,或者寄來的信件標題或內容有點怪怪的,就不應該亂點亂開。
3.備份!備份!備份!一定要用外接硬碟備份!
備份檔案這種事情不用講了,重要檔案一定要定期備份(重點在定期、常常備份),而且必須使用外接硬碟、USB隨身碟、記憶卡或燒成光碟等方式做備份(雲端備份也可以)。
因為當電腦病毒肆虐、開始加密你電腦中的所有文件、照片或影片檔時,萬一妳的外接硬碟或 USB 隨身碟、記憶卡還連接著電腦,那一定會被牽連、跟著被加密了!所以為了避免被波及,一定要定期針對重要資料另外備份,不要只是放在同一台電腦或區網裡的其他電腦,而是一定要備份到外接儲存設備,備份完後把線拔掉、另外收起來放!
看起來很麻煩?對,是很麻煩,但是跟所有檔案都被綁架、加密比起來,你會慶幸還好有備份!
已經中標的話,該怎麼辦?
- 發現電腦有異常、開始出現檔案被加密無法開啟等狀況時,馬上拔掉網路線,避免病毒透過區域網路傳染給辦公室或家裡的其他電腦。
- 如果檔案加密的工作還沒全部執行完成,馬上關機、把硬碟拔起來再用其他電腦(最好是 Linux 或 Mac)去讀硬碟,看看能不能把未被加密的檔案救出來,也許還有一點點機會。
- 認了,付錢,然後祈禱他是個有良心的壞人。
- 完整格式化硬碟、清乾淨後,重灌電腦。
- 記住這次教訓,要常備份、要裝防毒軟體並更新 Windows Update、少開奇怪檔案。
- 哭哭….
推薦使用小紅傘 <-不會吧?都已經有報告出了這個病毒在進病毒庫前有那些防毒能主動防禦,Avira跟本是完全陣亡,連警報也沒有,再加上現在越弄越差超吃資源…… 這兩三年跟本除了BitDefender和卡巴,其他都不列入考慮還不如不裝吧…
小紅傘沒?用、我購裝多機板(正版)照樣中招
很可惜的是,使用謎版作業系統的用戶是無法更新2017年發佈的漏洞修補程式,也就是說根本之道不是換用MAC、Linux之外,就是”請購買正版軟體”,堅持使用謎版的用戶,就請認真點天天收集訊息把會被入侵的網路埠一個個手動擋起來,看誰撐得久了。
感謝您的告知.分享.有您真好.
您好,想問一下,剛剛在防火牆的規則中加入封鎖特定的幾個port(來源ptt找的),135/TCP,UDP
137/TCP,UDP->NetBIOS
138/TCP,UDP->NetBIOS
139/TCP,UDP->NetBIOS
445/TCP,UDP->SMB服務(據說是這一次的主角)
其他像是593 1025 3389(遠端桌面協定) 這些用不到也可以一起關閉
,請問這樣有用嗎…? (防火牆參考http://www.synnex.com.tw/asp/fae_qaDetail.asp?topic=FAE&classifyid=01997&seqno=21793方法)
沒在用的 port 全關就是了,Windows 升級到 10 的最新版,記得全部 Windows update 都更新,這次的攻擊只對 Win XP/7/8 有效,但也不排除會有變種或其他攻擊方式。
謝謝~好快的回覆(嚇),win10,1607版本升了20幾次升不上去…只好想點其他辦法,如果有其他推薦關掉port,還請告訴我~謝謝
目前 Windows 10 是 1703 :https://briian.com/23608/
可以下載來更新了。
那個啊…聽說不能調整顯示字的大小(有方法但要查),連mactype也要想辦法更新,讓我再猶豫一陣子,還是謝謝囉! ps.被秒回很開心
副檔名還沒被更改就有救嗎?
大部分會更改副檔名以便識別,當然也有不改的,不過如果有些有被改掉,有些沒有,那有可能還沒處理到那邊。
最好是馬上拔網路線、關電源,然後把硬碟拔下來用外接硬碟的方式拿到 Mac 或 Linux 電腦去備份檔案。
了解!
希望那些沒被改到的都能倖存下來!
請問還未被鎖住,救回的檔案可以像一般沒問題的檔案正常在新的筆電使用嗎? 謝謝
我的副檔名都變成a705 還有救嗎
我們公司的電腦被綁架過、由於中毒的電腦裡面都是報價單、客戶資料、未簽約案件、已簽約案件,所以公司決定支付贖金,因為報警根本’只會造成警察的困擾’,所以讓出納去7-11買比特幣匯給歹徒、對!歹徒就是在海外收取比特幣!再換成現金!
7-11嚴然成為這類犯罪者的幫兇!
沒事一家便利商店賣什麼比特幣?歹徒看上了台灣便利商店密集度高且可以跨國提領比特幣、根本沒有收款的風險!!!
所以這類的病毒便猖獗地四處流竄!
改天歹徒如果綁架富商也會要求支付比特幣了⋯
7-11有必要賣比特幣這種低需求的商品嗎?
我們公司也是報價單客戶資料一大堆。在昨天被綁了,今天上班大崩潰,請問你們公司付了多少錢?付了錢後有給你們解密嗎?
想請教一下,檔案目前都沒有加密碼 只是無法顯示,這樣還有救嗎
學校老師叫我們用備份王(這好像是軟體名稱)自己備份,該備份工具除了免費外,還可騙過勒索軟體
vvv病毒加密檔,用趨勢科技出的解密工具: TeslaCrypt 解密工具(TeslacryptDecryptor) ,超輕鬆又快速解密,檔案全恢復,下面是趨勢科技官網連結
http://esupport.trendmicro.com/solution/zh-TW/1114221.aspx
我想問其實勒索人怎樣收錢⋯⋯不會被捕嗎⋯⋯
我也是,但是檔名沒有改變,只是打不開
請問一下,我所有的MP3、JPG….後面都是.crypt這樣還有救嗎?
已經被加密了, 就沒辦法了。
請問一下,我所有的照片檔後面的副檔名都變成.JPG.micro,這樣還有救嗎?
沒救了
我今天中 cryptowall 了,提醒大家小心,我的 Dropbox 資料夾內的資料也被加密,差一下就要被上傳到雲端同步… 還好及時拔了線。可見即時同步到雲端,風險很高啊!大家不可不慎。