訪客留言簿

星期五, 5月 01, 2015

[資安通知] 預防檔案加密勒索病毒 TorrentLocker 及 Crypt0L0cker

前言

【暫時置頂】如果你自認你的資料超級重要,卻又不肯離線備份,還會用工作電腦去亂逛些網站,又不肯更新作業系統,還喜歡亂點郵件裡的超連結的話,那你真的要付錢救檔案時,可以參考一下這篇,瞭解一下殺價跟付款、解鎖的過程:電腦安全 - 中了勒索病毒(Ransomware),支付贖金成功解密過程~圖文說明 - 電腦討論區 - Mobile01行動版

重要通知(2017.05.01):如果你是用 Windows 7,還在 4/23 到 5/1 間,上過 eyny(伊莉)的話,那你應該有中新的勒索病毒了,請先找找系統中有沒有 update64.exeacnom.exe(Zemana AntiMalware 能掃到)、regdrv.exe(同前)、wuauser.exe(AntiVir 能掃到)、msiexev.exe(同前)等會吃光你 CPU 的不明程式,真的有中毒的話,請重灌,不要救了,因為目前沒有徹底殺光新病毒包的方式。
還沒中獎的話,先去更新 Windows 再說,這次是作業系統漏洞,所有跟內建的 SMB 網路芳鄰(攻擊程式會針對實體 IP 掃瞄 Port 445 試圖入侵),以及遠端桌面(RDP:Remote Desktop Protocol)有關的東西都有漏洞,所以基本上中招後,你的電腦就可以被安裝任何東西,包含比特幣挖礦機。(相關更新都是安全性更新,如: 2015/08/11 的 KB3019978 跟 KB3075220,四月總更新的 KB4015549 也要記得裝)
(參考資料:Re: [心得] 兩天內家裡兩台電腦都被勒索 - 看板 AntiVirus - 批踢踢實業坊
單純想嚇嚇自己的話,在「開始執行cmd」裡,輸入「netstat -an | findstr 445」,就可以自己嚇自己了。

【置頂】查詢你註冊用的信箱有沒有被盜密碼過:Have I been pwned? Check if your email has been compromised in a data breach

【置頂】舊版解鎖軟體:遇上加密勒索別擔心,趨勢科技免費釋出勒索軟體解密工具 | iThome

重要通知(2016.06.19):Flash 6/16 出了 22.0.0.192 更新,請盡快安裝。Amenaka Isima - ●看到此文章請趕快更新你的瀏覽器的FLASH,非常重要●... | Facebook

重要通知(2016.06.05):勒索病毒可能會對 7-Zip 造成傷害,請升級到 16.02 版以上。7-Zip 繁體中文版官方網站

重要通知(2016.05.12):最近好像有新的感染途徑,防毒軟體抓不到病毒檔,建議是異地備份至少兩份(備份到其他平常不會連接的硬碟上,或是用 dropbox / Google Drive / OneDrive 自動同步更新重要文件),還有開啟 Windows 的系統還原功能,或是乾脆換用 Mac OS X 跟 linux distro 來躲攻擊 Windows 的病毒。

重要通知(2016.02.18):因為有一部分的勒索軟體的原始碼流出,所以如果你很幸運,剛好是被同樣演算法的軟體攻擊,那可以試試能否解開。詳細請參考:CrypBoss、HydraCrypt、UmbreCrypt等勒索軟體已成功「破解」 | T客邦 - 我只推薦好東西

重要通知(2015.12.11):有人寫了一個反制勒索軟體的程式,雖然不是完美的,但只要病毒沒更新,那這方法就有一定效用,可以當成一個切入點,懂程式設計的,可以自行修改看看。(參考:[閒聊] 綁架病毒對策:簡易監控小腳本 - 看板 C_Chat - 批踢踢實業坊

微微更新(2015.11.17):
豬隊友的故事,基本上要用 Flash 的,就改用 Google Chrome 瀏覽器開,IE 跟 Firefox 等的,都別裝 Flash 跟 Adobe PDF Reader 等的 Adobe 產品(甲骨文 SUN JAVA 記得開自動更新),信箱一律使用 Gmail 等有過濾病毒功能的網路信箱來收,作業系統安全更新全裝上去,就可以自行避開危險。(擔任資訊要職的人,務必要比別人多一份警惕心。 - 資安小故事 By 靠北工程師 | Facebook

微更新(2015.11.08):
Linux 網站管理者被勒索,可預期的發展,不過好像沒說明怎麼攻擊成功的,各位伺服器系統管理者請自己小心各種安全漏洞。(Linux Ransomware Is Now Attacking Webmasters | TechCrunch

重要通知(2015.07.14):
Flash Player 請升級到『18.0.0.209』版以上,瀏覽器也要記得更新到最新版。

更新通知(2015.06.16):
Flash Player 出了 18 版,不過安裝後,17 版的還是會存在,請上 Adobe 官網,下載他們的「uninstaller」程式來移除。(Uninstall Flash Player | Windows,裡面有個超連結文字的 uninstaller 就是該程式)

重要通知(2015.05.13):
Flash Player 請升級到『17.0.0.188』版以上,瀏覽器也要記得更新到最新版。

裝的軟體越多,會受到的攻擊風險也越大,Windows 的「安全性更新」請務必要馬上安裝好

然後已經中毒的就沒救了,認命跑系統還原先試試吧,不過絕對不要付錢給勒索者

簡述重點:
一、開你的瀏覽器,看看用了哪些外掛程式。
二、把那些外掛程式全更新到最新版。

(2015.05.03 更新:Linux 系的也會中獎,這是攻擊外掛程式的漏洞,做的事也是正常操作行為,只是很少人會想特地寫 Linux 系的來勒索,不過如果你的 NAS 是 Linux 系的,這病毒可能會去感染區網上的所有電腦,所以最好把你上網的那台,相關外掛程式給更新到最新狀態。Android 系手機的話,聽說也有災情,不過僅止於聽說倒是)

搜尋用關鍵字:TorLocker TorrentLocker CryptoLocker CryptoWall TeslaCrypt 敲詐者病毒 SynoLocker Synology NAS 勒索軟體 ransomware

檢查更新

以下四種軟體,請務必確認已經安裝到最新版。

另外 Windows 系統更新請把「安全性更新」項目全裝上重開,XP 因為剛好在四月停止服務,所以沒辦法靠系統更新防這問題,建議升級到 Windows 7。(要檢查系統更新,請在資料夾網址列輸入 控制台\系統及安全性\Windows Update 後按 Enter)

另外瀏覽器也要全部更新到最新版,目前似乎有使用 Google Chrome 也中獎的例子。

利用瀏覽器檢查外掛程式更新

檢查感染

這病毒有潛伏期,不會馬上就讓你發現你的檔案被綁票了,所以只能先用搜尋軟體,找一下有沒有含「 encrypted 」這關鍵字的檔案先,有看到的話,就先去安全模式下,想辦法挖出有問題的執行檔砍掉先。(原則上看到桌面上有被加密的檔案時,就已經沒救了)

中獎者電腦可能會含有的檔案(沒搜到這些檔案的話,就先備份硬碟資料先):

  • HELP_TO_SAVE_FILES.txt
  • HELP_RESTORE_FILES.txt
  • DECRYPT_INSTRUCTIONS
  • RECOVERY_FILE.txt
  • .encrypted
  • .ezz
  • .ecc
逆向思考全壘打之改副檔名逃感染(05.13更新)

因為這病毒只會優先攻擊文件、圖片、影音資料,所以把覺得重要的檔案,副檔名砍掉,應該就不必擔心被感染到重要檔案了(理論上來說),當然作業系統和外掛程式還是要記得更新。

自力救援

這個勒索型惡意程式,雖然會把你的檔案加密,要求贖金,不過基本上不是那麼萬能,各位可以朝以下方向,試看看能不能救回檔案。

  • 系統還原:新版 Windows 都會預設開啟定期備份,試試看有沒有辦法還原,還原完記得也要去更新有漏洞的程式。

  • 檔案救援:因為檔案原則上一定要經過「刪除」的動作,所以試用磁碟檔案救援軟體,應該有機會撈到原先沒被感染的檔案。(不過前提是你本來就有裝好了,不然中獎後才來安裝,磁區資料被覆蓋過去的話,救回的機率也很低)

檔案救援軟體

其他須知

  • 開電子郵件附件時小心是不是偽裝檔名的 exe 執行檔
  • 不要亂下載什麼「○○空間下載器」之類的程式
  • WinXP 早點升級到 Win7
  • 拔網路線、關 Wifi 無線連線(如果已經中毒的電腦沒必要連線的話,就別讓它繼續連線跑檔案加密,也別讓它感染其他電腦)

防毒軟體

如果你對 Microsoft 自家的 MSE 防毒信心缺缺(不過至少記得開一下你的系統防火牆 → 控制台\系統及安全性\Windows 防火牆),那可以試試以下的免費防毒軟體。

其他防毒

單純想掃完毒就砍的話,可以試試下面的試用版。

參考資料

補充說明

我不知道為什麼有些網站,教的解法是「乖乖付款」,但只要你一付款,你就是認同了這種行為可以繼續存在,進而去殘害別人,那些勒索者會很高興你讓他們可以躺著就有錢賺的。(而且基本上付款也不保證你就能解開檔案)

2 comments:

東海國小 提到...

您好,借分享此篇文章方便嗎?
來自學校單位

wini 提到...

>東海國小

你好,這裡的文章,是依照以下授權方式,供任何人自由使用、散布、修改的,所以你只要在你要使用的地方,附上這頁的標題、網址即可,其他都是自由使用的。(除了不能用作商業使用外)

Creative Commons 姓名標示-非商業性-相同方式分享 2.5 台灣 (中華民國) 授權條款

 

本站著作(不包含圖片、影音以及回應留言)係採用 Creative Commons 姓名標示-非商業性-相同方式分享 2.5 台灣 (中華民國) 授權條款授權