好吧,其實從勒索病毒問世以來,除了第一波蔓延的時候,台灣這邊傳出大量災情外,其實陸陸續續雖然有因為病毒的變種傳出災情,終究是少量中的少量,但是這次似乎就鬧得很大了,從6月1日起至今,PTT防毒板就傳出了勒索病毒cryptXXX的大量災情,而且還是變種版本的。
從6月1日開始,PTT AntiVirus板(簡稱防毒板)出現了一篇標題為「[問題] 所有照片文件MP3的檔名多了.cryp1」的文章,裡面描述說他電腦內jpg pdf mp3 txt之類的非系統檔案都被加密成.cryp1檔,而且桌面也被置換。使用卡巴斯基或者是趨勢科技的解密軟體無用。而相關的文章從6月3日起就傳出大量的災情。
由於趨勢科技的確可以解密cryptXXX V3.0的.cryp1加密,而鄉民表示無用的話,推測這一版的勒索病毒可能是cryptXXX的變種版本,所以過去的勒索病毒解密軟體無法支援。而整理了網友的文章後,大概推敲出幾個共通性:
1.根據文章整體來看,大部分有提到的都是IE的使用者。
2.有幾個案例是IE突然跳出更新,且無法取消,按下確認後就中獎了。
3.部分使用者有去去中國網站的習慣。
4.有使用者堅持自己沒有去中國網站,但是有閱讀國內新聞網站,推測可能是從Flash廣告的部分中獎
5.病毒疑似有潛伏期,有使用者是突然看YouTube看到一半就中獎的。
6.目前此變種cryptXXX,卡巴斯基與趨勢科技先前推出的的解密軟體無法解密。
7.案例中有一例是無法上網的主機被加密,有網友推測病毒是從共享資料夾內入侵。
8.目前統計的案例來看,只要有寫入權限的資料夾都可能被加密
9.專攻通用文件格式與圖片格式,特殊格式不在攻擊範圍內。
總而言之,目前此變種cryptXXX是無法事後解密的,要事先預防的話,首當其衝的就是IE瀏覽器,不少案例都是使用IE瀏覽器跳出疑似病毒偽裝的更新後,按下更新按鈕才中毒的,可能的話就先暫時停用它吧。剩下的也有使用者建議開啟「使用者帳戶控制設定」,把等級調到最高,讓有任何軟體要執行前都先行通知你。當然,你也要學著判斷你到底執行了那些應用程式。
↑有網友推薦用這招來避免勒索病毒未經同意啟動。
最後還是重申一下,雖然目前為止這套疑似為變種版本的cryptXXX無解。有鑑於勒索病毒日新月異、種類繁多、變種軟體更多,往後勒索病毒相關文章,都會將一些預防的方式與解鎖的方式列在文章最後面,並且持續的不斷更新,希望以此能夠幫助一些人。當然,任何的方法都比不上定時備份重要檔案的良好習慣,在面對這波病毒潮,逼自己一下吧。
預防勒索病毒
綁架電腦檔案勒索賺錢 簡單步驟預防檔案加密病毒《TorrentLocker》及《Crypt0L0cker》
把檔案放在保險箱中 用《iPC 2016》避免勒索病毒的侵襲吧
預防勝於治療 歐洲防毒公司推出CryptoLocker勒索病毒疫苗
對抗部分勒索軟體有效 關閉Windows解壓縮時自動執行JScript功能
解鎖勒索病毒
CrypBoss (包含衍生的HydraCrypt與UmbreCrypt)
CoinVault與Bitcryptor
Petya
勒索病毒Petya有解 國外安全專家Petya Sector Extractor解密程式
TeslaCrypt(包含其變種病毒)