大家應該多少有耳聞「我的電腦檔案被加密了,駭客要求我付XX元比特幣,否則我整台電腦的檔案都無法使用」這類的案例。原以為這種事情只發生在遙遠的國外,但是最近竟然在台灣地區聽到類似的事情。於是就著手整理了這篇,希望能在事情發生之前,盡可能地降低大家的中獎的可能性。(這並不是樂透還是發票,就真的別中了)
↑日本方面也有傳出勒索病毒的消息。
根據《ithome》報導指出,《Crypt0L0cker》是在2013年時引發恐慌的勒索軟體,原本在2014年6月被各國警方破獲,但是在2014年年底,有資安公司發現《TorrentLocker》的存在,比起《Crypt0L0cker》是單一的英文版本,《TorrentLocker》講究的是「在地化服務」,有著各國語言版本。《TorrentLocker》是透過電子郵件散佈的,標題則會視當地國家在意的話題,比如沒繳的電話費、候選人的支持等等,資安公司ESET就說「這是一個相當本土化的攻擊手法。」病毒主要鎖定攻擊歐洲國家,包括:英國,澳洲,加拿大,捷克共和國,義大利,愛爾蘭,法國,德國,荷蘭,紐西蘭,西班牙和土耳其等,但在日本也曾發現蹤跡。
而台灣在怎麼撐,也在今年4月時傳出案例,網友ray1988man在巴哈姆特發布了一系列的畫面,表示他被《Crypt0L0cker》纏上,「電腦幾乎所有的圖片檔、影片檔、壓縮檔、office文件檔、pdf檔全都加密」。ray1988man並表示「加密過程,防毒軟體根本辨識不出來,而且只有放毒的人才有加密的key,然後跟你勒索費用。病毒很好刪,主要是後續問題,被加密的文件不會被解密,想救回來就是付錢,不過也別傻去付錢。」
受害者特徵
在巴哈姆特與Mobile01的網友通力合作、收集各方資訊下,終於有比較明確的應對方式:
1.該病毒為多語系–至少有英文、西班牙文、德文、日文、中文、韓文、泰文。
2.感染途徑確認為Drive-by download attack,會在瀏覽被改竄的惡意網站、或開啟郵件、甚至點選彈跳視窗時強制安裝病毒。
3.會被感染電腦的特徵都有下列四者其中之一–
a.舊版Java。
b.舊版Adobe Reader。
c.舊版Adobe Flash Player。
d.沒有將Windows Update更新到最新。
換言之、如果上述四者都有更新到最新版,那麼感染的機會微乎其微。
因XP已經不再更新/修補系統,所以XP無法從系統這部分抵禦病毒入侵。
4.2015/05/01現在目前除了映像檔還原外沒有任何有效的解法。
(來源:Mobile01)
↑這不是國外的事情,近幾個月台灣也開始傳出災情了。來源:巴哈姆特
病毒潛伏特徵
不確定自己是否中毒者,可以檢查一下電腦中有沒有含有「encrypted」的檔案。若有,請盡速備份重要檔案。並進入安全模式下想辦法找出有問題的執行檔刪除。另,有不少案例中傳出,中毒者的電腦中會多出以下的檔案,使用者可以參考一下。
可能跑出現的檔案
HELP_TO_SAVE_FILES.txt
HELP_RESTORE_FILES.txt
DECRYPT_INSTRUCTIONS
RECOVERY_FILE.txt
.encrypted
*.ezz
*.ecc
(來源:巴哈姆特)
↑許多中毒者的電腦中,許多資料夾內都跑出這些檔案。來源:巴哈姆特
對應方式
1.Windows系統更新:更新名稱有「安全性更新」的項目全裝。
↑有標記「安全性更新」的更新檔,全部都要安裝。
2.以下五個軟體更新到最新
Jave:驗證JAVE版本
Adobe Reader:Adobe Reader最新版下載處
Adobe Flash Player:Flash Player更新網址
Silverlight:Silverlight下載處
Chrome:最新版下載處
3.Win XP使用者,因為系統已經停止支援更新。請盡速更換成Win7或是更高版本作業系統。
基本上,「電腦裝上有效的防毒軟體」與「正確的上網習慣」是避免中毒的不二法門,如果你真的不小心電腦被加密檔案了,請認知一個觀念「不要付錢!」一方面是你付錢,等於你贊同這樣的行為,讓駭客繼續躺著賺。二方面是,目前有許多案例傳出,駭客所使用的演算法有問題,你付錢拿到的檔案不見得能夠解除加密,但是到這時候也是沒有用的了。
