顯示廣告
隱藏 ✕
※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2017-05-13 00:58:33
看板 AntiVirus
作者 yo800810 (小敏)
標題 [科普]關於勒索病毒的常見問題與說明(內詳) 5/12更新
時間 Mon May  8 03:49:06 2017


本文同時發布在Mobile01:
http://0rz.tw/uiUHe
電腦安全 - 關於勒索病毒的常見問題與說明(內詳)  5/12更新 - 電腦討論區 - Mobile01
[圖]
以下內容為個人這段時間以來看過各方說法及資料匯集而成的,若有錯誤或需要補充的地方還請告訴我。本篇將... ...

 

以及巴哈:
http://0rz.tw/2LVst(討論板)
http://0rz.tw/A8ezo(小屋)

================================

因為作者偷懶,
PTT的此篇文不再更新,請至巴哈或01觀看最新版本。

================================


稍微考慮一下還是把文PO過來了....
(對BBS排版苦手,若喜歡彩色版的請去01或巴哈看,謝謝!)


以下內容為個人這段時間以來看過各方說法及資料匯集而成的,
若有錯誤或需要補充的地方還請告訴我。

本篇將以「勒索病毒」進行「簡易」的介紹。

==========
Q1.「勒索病毒」是什麼?

A1.勒索病毒不同於一般病毒,
  他是使用系統允許的方式進行檔案加密,
  讓使用者若沒有該密碼便無法開啟檔案,,
  接著,在對想開卻無法開啟檔案的使用者進行勒索,
  目前的勒索多為以比特幣(bitcoin)來付贖金,
  接著,在受害者付完贖金之後給予「一次性」的解密程式,
  使受害者得以將檔案復原。
  但另一方面,也不是沒有被撕票的可能,
  因此,付完贖金之後只是「有機會」救回檔案資料。




Q2.防毒軟體可以擋下「勒索病毒」嗎?

A2.雖然有些防毒軟體有主打預防「勒索病毒」,
  但至今為止仍未有任何一家防毒軟體可以100%預防,
  頂多能降低風險。
  另、有些人會推薦同時使用兩款防毒軟體,
  但依據尤金卡巴斯基的說明,裝兩款防毒軟體技術上是不可行的,
  不過可安裝一個「防毒軟體(AntiVirus)」和一個「防惡意軟體(AntiMalware)」
的程式。(5/10更新)
(megakotaro/mobile01補充及說明)<<部分詳細說明未放上來,請至原串看。



Q3.只要不去奇怪的網頁、不亂下載就不會有問題了嗎?

A3.非也,勒索病毒通常會透過flash的漏洞使使用者中毒,
  或是藉由冒充成常見軟體等方式來使使用者同意他們做亂。
  亦或是前陣子也有出現過「主動攻擊」win7系統的漏洞,
  使win7使用者中鏢,以上幾種除了自己同意病毒做亂以外,
  不管是透過flash使電腦中鏢,或是主動攻擊win7漏洞,
  都是在加密完成前很難以察覺的。
  另、開啟遠端功能也有機會中鏢,如CRYSIS可暴力破解遠端連線的密碼。(5/10更新)
(megakotaro/mobile01補充及說明)<<部分未放上的內容可原串觀看。


Q4.那要如何預防「勒索病毒」?

A4.先簡單列出幾個要特別留意的點,
  而詳細說明的部分,則會放到本項目的最後。

1.不要亂點連結、不要在官網以外的地方「更新」任何東西。

2.升至Win10,並將系統更新至最新。

3.移除flash,並將chrome升級為新版。

4.安裝Adblock等擋廣告的插件。

5.安裝具有防堵勒索病毒的防毒軟體。

6.雖然說不上預防,但可以使用他人所製作的腳本來減低中鏢時的損失。
 (詳情請參考:http://0rz.tw/yQWtP
[閒聊] 綁架病毒對策:簡易監控小腳本 - 看板 C_Chat - 批踢踢實業坊
總之,寫了一個簡單的小腳本 基本概念就是他會每30秒監測C:/1.jpg這個路徑 如果這個路徑消失了(也就是1.jpg被修改)就會強迫關機 例如被改成1.jpg.vvv就會0秒強迫關機 我把腳本放在ntu space可以安心下載(更新ver2.01)
 
 (另推薦Cybereason RansomFree,與上述的腳本類似,偵測到加密行為時會跳框並阻
止)(5/10更新)(megakotaro/mobile01補充及說明-部分未放上的內容可至原串觀看)

7.雖然不是預防勒索病毒本身,
 為維護資料安全,請至少以三種不同的形式進行備份,
 並且至少有一種方式要為異地備份(如雲端)。

8.另外,為確保加密早期(檔案還未加密完畢時)可及早發現,盡量避免長時間掛網。

9.進行「權限控管」,讓「一般使用者」的權限降低,防止勒索軟體寫入系統檔。(5/10
更新)(megakotaro/mobile01補充及說明)<<部分未放上的內容可至連結內觀看

10.關閉內建遠端。(5/12更新)


詳細說明:
關於第一點,基本上很多對電腦資安不熟的人很容易犯這種錯誤,
像是這次中毒者很多都是點選了在伊莉出現的假flash更新,
而該flash裡面除了真正的flash以外,
還夾帶了木馬程式,
接著,當勒索病毒藉由木馬程式進入受害者的電腦中之後,
便開始進行加密及勒索的動作,
但這部分因為是受害者自行放任病毒在自己的電腦裡做亂,
因此即便是win10也是會中鏢的。(目前win10中鏢案例皆為此種)
所以若需要對程式或系統進行升級,請至官網最為保險,
千萬不要因為他跳出來了,就點選下載或安裝。
之前在yahoo也有出現過廣告中被夾帶勒索病毒而使大量電腦中獎的例子。


第二點:
前陣子曾有一波專門「主動攻擊」win7系統的漏洞,
並使win7使用者中勒索病毒(這部分已在3/14有釋出系統更新檔),
(若僅要針對3/14漏洞補丁進行更新的話,請至http://0rz.tw/Ebj0C下載)
(資料來源:Re: [心得] 兩天內家裡兩台電腦都被勒索/Joba07/PTT)
(注意:但微軟一直有針對此部分進行安全性更新,可以的話還是開著自動更新吧!)

而win10相較於win8、win7,系統漏洞較少,
因此就目前為止,較能防範「主動攻擊型」的勒索病毒,
且自win8、win10的flash更新是與系統更新一同的,
所以只要自己跳出來說要更新的,
基本上應該都是病毒,較容易辨認。
但win10本身不防使用者自己讓病毒在電腦裡惡搞。
(因此除了系統防範以外,使用者習慣才是最重要的)
另外,微軟也多次針對防堵勒索病毒而提供更新檔,
因此建議使用者也要將電腦更新至最新版。


第三點:
建議移除flash,現在看youtube也已不是使用flash了,
而是html5,所以本來使用到flash的機會就少很多了,
再加上移除的話,可以避免因為flash漏洞而中鏢。

若不方便移除的話,請更新flash至最新,
且也請將chrome或火狐更新至新版,
新版chrome需經由使用者同意才得以在該網頁啟用flash,
以避免遇到夾帶病毒的flash檔。


第四點:
安裝擋廣告的插件在瀏覽器上可預防放在廣告中的病毒。
根據pcdvd「野口隆史」表示,「擋廣告套件原理只是把你不要的網頁元素隱藏,實際上
都已經經過瀏覽器解析了」,所以效用不大,因此「建議用支援http scan的防毒軟體會
比較適合」(5/10更新)(megakotaro/mobile01補充及說明)



第五點:
使用防毒軟雖無法達到完全防堵,但起碼多一個保障。
而有些人推薦同時使用兩種防毒軟體,但不建議且不可行。
可以安裝一款「防毒軟體(AntiVirus)」和一個「防惡意軟體(AntiMalware)」的程式



第六點:
該腳本是為了萬一的時候,可以降低損失,
不過似乎已經有...
可以偵測出哪些是常用檔案而優先進行加密的勒索病毒了,
但基本上也算是做個保險,反正也不會太吃電腦資源。


第七點:
所謂的備份是不可以跟電腦檔案同步的,
且即便是透過外接式硬碟或隨身碟等進行備份,
也不可以長時間與電腦連接,
不然萬一勒索病毒開始加密了,
便會將那些所謂的「備份」給一起加密,
那備份就沒有意義了,因此除了傳輸檔案之外,
請注意權限以及不要將硬碟/隨身碟一直插在電腦上。


第九點:(5/12更新)
對於硬碟內資料的存取及修改皆需要一定的權限,將權限降低可以防止勒索軟體寫入。
(megakotaro/mobile01補充及說明-部分未放上的內容可至連結內觀看)

第十點:(5/12更新)
我的電腦/本機>遠端設定>將「允許到這部電腦的遠端協助連線」的勾勾給取消。
鑒於最近很多人疑似因為遠端開起的關係而被植入會引來勒索病毒的東西,
-
補充:
若要使用與本機同步的網路硬碟的話,
建議使用有版本還原功能的,
像是一般人常用的dropbox及google雲端皆有網路還原功能,
只是目前兩種雲端若要還原檔案需一個個去點及還原,
稍微有點麻煩,
可考慮使用Crashplan等有還原至特定時間點功能的雲端空間。
(感謝阿儒/mobile01補充說明)




Q5.我下載並安裝了了伊莉的Flash假檔了,該怎麼辦?

A5.請參考這兩篇文章:
http://0rz.tw/UzpeH(有安裝依莉假FLASH的參考下/巴哈)
【心得】< 5/7 更新 > 清除依莉假FLASH的病毒 @電腦應用綜合討論 哈啦板 - 巴哈姆特
[圖]
安裝到假FLASH的中毒特徵是工作管理員會出現powershell 經版友反映排程名稱為亂數產生 無法使用批次檔自動刪除 所以改圖文教學手動刪除 這病毒隨機使用兩種載入方式 第一種為使用工作排程器 第二種是登錄檔 首先開啟工作管理員 (CTRL+SHIFT+ESC) 對著WINDOWS POWERS ...

 
http://0rz.tw/kNUuA(Re: [請益] 最近少去伊莉/PTT)
Re: [請益] 最近少去伊莉 - 看板 AntiVirus - 批踢踢實業坊
*如果你的檔案已經被加密打不開 不用往下看 這篇文章幫不了忙* 家人的電腦也因為瀏覽伊莉而中毒了, 是Win7 64位元,安全性更新只裝到去年10月, 使用分享器給予的虛擬IP以Wifi的方式連線。 奇怪的是明明4/23晚上就裝的「加料版」flash player偽更新,
 




Q6.我中鏢了,而病毒已經開始加密了怎麼辦?

A6.立即切斷網路並立即強制關機,以免災情擴大,
  並將電腦交由專業的人來處理,
  千萬不要啟動防毒軟體硬碰硬,
  以免原本能救回的檔案都無法救回來了。




Q7.我中鏢了,且檔案已全數被加密完成了。

A7.
1.不要以防毒硬碰硬,以免檔案即便解密也無法再開啟,
 且也有可能因此無法開啟付贖金的勒索視窗或下載解密程式。

2.嘗試目前部分防毒軟體公司所釋出的解密工具。
(趨勢等公司所釋出的解密程式已可解密部分類型)
(或是也有些外國人自己研究出來的解密方式也可以嘗試)

3.解密失敗的話,請將硬碟留下,可以的話直接拆下保存,
 不行的話,請找顆硬碟對拷。
 目前很多無論是破解得來或是付贖金得來的解密程式需檔案在原處才可復原,
 因此不建議搬移,故在這邊建議對拷或直接將該硬碟封存。

 雖然有些人可能會付贖金讓檔案還原,
 但為不助長此風,因此若自己已有備份的話,
 請還是不要付贖金來了事,
 除非檔案真的很重要且沒備份到再考慮,
 畢竟也要把被撕票的可能性一起思考清楚。

-
*注1:
「斷網」此一動作僅適用於早期剛開始加密,
而與本機同步的網路硬碟尚未將更新檔上傳完畢的時候,
為保護放在網路硬碟上的檔案遭更新(變成已加密檔),
因此需要立即斷網,

亦可立即強制關機後立即將電腦電源拔除,
使該電腦本身與網路隔絕。
但若已加密完畢或已全數上傳、更新完畢的話,則不適用。
(感謝Chark.tw/mobile01補充說明)




Q8.中毒的話是否能請硬碟救援或防毒軟體等公司來救資料?

A8.基本上每一隻病毒對應每一台電腦時加密的密碼都不同,
  因此真正的密碼只有作者手上才會有,

  在此種狀況下,也只能用暴力解法,
  而在位數多的狀況下,使用暴力手法是非常沒有效率的,
  即便用國家級的超級電腦進行運算,也需要花上非常久的時間,
  因此沒辦法,除非是已有解法被釋出了。
==========
==========
目前由防毒軟體公司公開的解密工具連結:
趨勢科技勒索病毒檔案解密工具
http://0rz.tw/9hbyz
-
avast免費勒索軟體解密工具
http://0rz.tw/yjrjq
-
ESET - 防毒軟體與間諜和程式保護(英文版)
http://0rz.tw/Y8BuX
-
卡巴斯基(Kaspersky)解密工具(英文)
(感謝KevinYu0504/mobile01補充)
http://0rz.tw/IUwO8
-
Emsisoft解密工具(英文)
(感謝KevinYu0504/mobile01補充)
http://0rz.tw/rpbRz
-
McAfee解密工具(英文)
(感謝KevinYu0504/mobile01補充)
http://0rz.tw/lsL4r

-

Dr.Web
該軟體使用者可免費解密;否則須另支付一筆費用(5/10更新)
(megakotaro/mobile01補充及說明)
http://0rz.tw/IzQS6
Recovering files compromised by encryption ransomware — free of charge or for a fee in Dr.Web Rescue Pack Send your request to recover files compromised by encryption ransomware and get the decryption utility that comes with the Dr.Web Rescue Pack license. ...

 
-

用於辨識勒索病毒種類網站
(感謝KevinYu0504/mobile01補充):
https://id-ransomware.malwarehunterteam.com/


使用方式 -
進入網站後,
有三種測試方式,可以選擇其中一種即可。

(1).
左邊的【Ransom Note】意思就是勒索病毒提供的綁架說明檔案,
比較常見的都是 html(網頁檔)、txt(筆記本檔)、jpg(圖檔) 等等。
如果沒有提供任何綁架說明文件,可以跳過。

(2).
右上方的【Sample Encrypted File】意思是你被加密的檔案,
請直接用下方的 " 瀏覽 " 選項,上傳隨便一個你被加密的檔案上去。

(3).
右下方的【Addresses】意思是指地址,可以輸入綁架者提供的 電子信箱位置、
勒索說明檔案中提供的綁架網址。

找尋到勒索病毒的名字後,可去依關鍵字尋找解密工具,
若資料庫未有建檔或無法辨識的話,可能就是變種的病毒。

==========
5/8 文章更新-
WIN7漏洞補丁更新不是四月中,而是3/14,在上方已補上連結,
若要僅針對3/14釋出的補丁進行更新的話,請至:
https://support.microsoft.com/zh-tw/help/4012212
(注意:但微軟一直有針對此部分進行安全性更新,可以的話還是開著自動更新吧!)

(資料來源:Re: [心得] 兩天內家裡兩台電腦都被勒索/Joba07/PTT)

====
推測win7 1月份的安全性漏洞補丁正是防堵此次假flash player案例中入侵的漏洞,
因此建議win7使用者須連同一月份的KB3216771也一起更新
https://support.microsoft.com/zh-tw/kb/3212646


(資料來源:[情報]  Windows Update 2017年1月份更新/PTT)
(感謝hn9480412/PTT補充)

====
Microsoft Update目錄(似乎沒有中文版,確定有英文版和日文版):
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

(要尋找該次更新版本的話)
(用搜尋或是直接把網址KB後面的數字改成該次版本的數字即可)

==========
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.41.123.223
※ 文章代碼(AID): #1P3tesLl (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494186550.A.56F.html
xjp004123: 專業推1F 05/08 06:22
qaz35775379: 用心 推2F 05/08 08:10
hung097: 推用心整理3F 05/08 08:18
kipi91718: 通整理4F 05/08 08:43
HuoJung: 推整理5F 05/08 08:48
gwofeng: 01那篇我刪除了 巴哈那還留著  http://goo.gl/FojrTH6F 05/08 09:34
【心得】< 5/7 更新 > 清除依莉假FLASH的病毒 @電腦應用綜合討論 哈啦板 - 巴哈姆特
[圖]
安裝到假FLASH的中毒特徵是工作管理員會出現powershell 經版友反映排程名稱為亂數產生 無法使用批次檔自動刪除 所以改圖文教學手動刪除 這病毒隨機使用兩種載入方式 第一種為使用工作排程器 第二種是登錄檔 首先開啟工作管理員 (CTRL+SHIFT+ESC) 對著WINDOWS POWERS ...

 

非常感謝,已改連結。



a29358499: 感謝整理7F 05/08 09:35
hedgehogbaby: 請問現在還能win7免費升級win10嗎?謝謝8F 05/08 09:37
Adven: 瀏覽器(像FX)有時也會要求更新flash 在伊莉傳出有毒那幾天9F 05/08 09:49
Adven: 同一時間flash確實也有更新版本
ms16140864: https://goo.gl/qaNV20 現在win7免費升win10方法11F 05/08 09:50
ms16140864: 微軟網站的說明
lightbox: 用心 推13F 05/08 11:49
blakespring: 外接硬碟不幸有長時間連接也被加密14F 05/08 11:56
blakespring: 還好最重要的檔案逃過一劫
hedgehogbaby: 感謝ms大告知升win10方式!謝謝16F 05/08 12:22
danny240220: 推17F 05/08 12:39
huang19898: 感謝  不過我有認識的說他的win10也中標18F 05/08 13:09

目前win10的中鏢案例基本上都是使用者自己造成的,
例如說安裝東西結果其實裡面已有暗藏病毒,
簡單來說,
就是自行允許偽裝過的病毒在自己電腦中作亂。

因此除非win10又被發現有什麼漏洞,
不然基本上只要使用者自己本身沒有操作不當的話,
win10算是安全的,
但再強大的系統或防毒,
也無法保證不會因使用者習慣不好,
而造成資料的損失……



WWWOOOXX: win7四月中釋出的更新檔 是KB多少呢?19F 05/08 16:25
WWWOOOXX: 要幫學校電腦裝 但是不能直接用微軟升級 想說用抓的

抱歉,發現時間點打錯了,是三月中的更新:
https://support.microsoft.com/zh-tw/help/4012212

晚點會更新在文章裡面。



Cagliostro: 還有一個是遠端桌面軟體用的帳密不要重複使用&用2FA21F 05/08 19:19
Cagliostro: 之前有因為帳密重複被遠端植入病毒的案例(TeamViewer)
AprilE98: 真是太恐怖了QQ23F 05/08 19:29
hn9480412: 要更新的話麻煩連1月份的也要更新。1月份只有針24F 05/08 22:55
hn9480412: 對win 7修正一個本機安全性授權子系統服務(lsass)的安
hn9480412: 全性漏洞
hn9480412: http://goo.gl/TXYLUU
[情報]  Windows Update 2017年1月份更新 - 看板 Windows - 批踢踢實業坊
Windows 7  本月僅包含 KB3216771 - 修正遠端使用者可透過本機安全性授權子系統服務(lsass)入侵的安全性漏洞 Windows 8.1
 
hn9480412: 現在可以推測eyny的假flash player是透過這個漏洞入侵28F 05/08 22:59
hn9480412: 的

感謝補充,已更新



photoless: 自己覺得 軟硬體的資安 以後會很重要30F 05/08 23:49

資安一直都很重要唷,
尤其是現在數位產品及網際網路越來越貼近人們的生活,
像是手機、穿戴裝置都連接著網際網路,
但在那些東西上面,不也有很多不是和外流或是寶貴的資料嗎?
雖然說是防君子不防小人,但如果能有基本的資安觀念的話,
可以降低很多不必要的風險~


ppdog112: 推31F 05/09 05:17
ROGANJACK: 推整理32F 05/10 02:39
hn9480412: 5月份的Windows安全性更新有修正多個SMB漏洞33F 05/10 12:10
hn9480412: 建議有時間就盡快更新
vic0607: 正愁中標無解,推整理35F 05/10 17:36
trytofight: 原來伊莉那個flash是病毒啊,那天看到我也有點擊下載36F 05/11 09:49
trytofight: 不過我的火狐一直下載失敗,換成chrome也是下載失敗
trytofight: 還好沒中招
FantasyNova: 完全不建議用兩個主要的防毒,第一占資源,效果慢39F 05/11 10:17
FantasyNova: 第二互相搶管理 搶權限 實際上沒有比較好用
FantasyNova: 如果因此導致操作體驗變慢 那跟硬體很強也扯不上關
FantasyNova: 市面是付費的主流antivirus進階版本都帶網路防護
FantasyNova: 理應都作全面性的規範,防毒軟體應該是熟悉介面用習
FantasyNova: 慣,了解一些進階選擇排除比較適合重要

請原諒身為原po的我沒把所有文章同步更新……orz

昨天更正的內容的版本已更正這部分。


a207352000: 感謝分享,找時間來試試45F 05/11 18:28
gwofeng: 安裝多套但平時只常駐一個防毒就好46F 05/11 19:11
gwofeng: 像MalwareBytes adwcleaner這些定期掃一下清廣告滿好用的
※ 編輯: yo800810 (114.41.124.106), 05/12/2017 15:40:47
lalafly: 請問可以只關機就好了嗎 還是電源一定要拔呢 謝謝48F 05/12 22:37
se2422: 推49F 05/13 00:52

--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 464 
分享網址: 複製 已複製
1樓 時間: 2017-05-13 01:39:47 (台灣)
  05-13 01:39 TW
所以其實微軟也樂見這個流行嗎?  因為大家會因為害怕而升級「溫死」?
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇