================
勒索病毒種類繁多,並非僅有此款的勒索病毒,
因此以下內容並非針對「WanaCrypt0r 2.0」做解說,
而是針對「勒索病毒」的預防做介紹。
================
(此文同步發至Mobile01)<<另外推薦後續他人的回覆補充
以下內容為個人這段時間以來看過各方說法及資料匯集而成的,
若有錯誤或需要補充的地方還請告訴我。
本篇將以「勒索病毒」進行「簡易」的介紹。
==========
01.「勒索病毒」是什麼?
A1.勒索病毒不同於一般病毒,
他是使用系統允許的方式進行檔案加密,
讓使用者若沒有該密碼便無法開啟檔案,
接著,在對想開卻無法開啟檔案的使用者進行勒索,
目前的勒索多為以比特幣(bitcoin)來付贖金,
接著,在受害者付完贖金之後給予「一次性」的解密程式,
使受害者得以將檔案復原。
但另一方面,也不是沒有被撕票的可能,
因此,付完贖金之後只是「有機會」救回檔案資料。
Q2.防毒軟體可以擋下「勒索病毒」嗎?
A2.雖然有些防毒軟體有主打預防「勒索病毒」,
但至今為止仍未有任何一家防毒軟體可以100%預防,
頂多能降低風險。
另、有些人會推薦同時使用兩款防毒軟體,
但依據尤金卡巴斯基的說明,裝兩款防毒軟體技術上是不可行的,
不過可安裝一個「防毒軟體(AntiVirus)」和一個「防惡意軟體(AntiMalware)」的程式。(5/10更新)
(megakotaro/mobile01補充及說明)<<部分未放上的內容可至連結內觀看
Q3.只要去奇怪的網頁、不亂下載就不會有問題了嗎?
A3.非也,勒索病毒通常會透過flash的漏洞使使用者中毒,
或是藉由冒充成常見軟體等方式來使使用者同意他們做亂。
亦或是前陣子也有出現過「主動攻擊」win7系統的漏洞,
使win7使用者中鏢,以上幾種除了自己同意病毒做亂以外,
不管是透過flash使電腦中鏢,或是主動攻擊win7漏洞,
都是在加密完成前很難以察覺的。
之前在yahoo也有出現過廣告中被夾帶勒索病毒而使大量電腦中獎的例子。
另、開啟遠端功能也有機會中鏢,如CRYSIS可暴力破解遠端連線的密碼。(5/10更新)
Q4.那要如何預防「勒索病毒」?
A4.先簡單列出幾個要特別留意的點,
而詳細說明的部分,則會放到本項目的最後。
1.不要亂點連結、不要在官網以外的地方「更新」任何東西。
2.升至Win10,並將系統更新至最新。
3.移除flash,並將chrome升級為新版。
4.安裝Adblock等擋廣告的插件。
5.安裝具有防堵勒索病毒的防毒軟體。
6.雖然說不上預防,但可以使用他人所製作的腳本來減低中鏢時的損失。
(詳情請參考:綁架病毒對策:簡易監控小腳本/PTT)
(另推薦Cybereason RansomFree,與上述的腳本類似,偵測到加密行為時會跳框並阻止)(5/10更新)(megakotaro/mobile01補充及說明-部分未放上的內容可至連結內觀看)
7.雖然不是預防勒索病毒本身,為維護資料安全,請至少以三種不同的形式進行備份,
並且至少有一種方式要為異地備份(如雲端)。
8.另外,為確保加密早期(檔案還未加密完畢時)可及早發現,盡量避免長時間掛網。
9.進行「權限控管」,讓「一般使用者」的權限降低,防止勒索軟體寫入系統檔。(5/10更新)(megakotaro/mobile01補充及說明-部分未放上的內容可至連結內觀看)
10.關閉內建遠端。(5/12更新)
11.開啟防火牆,並關閉不必要的port(如12號那波「想哭2.0」攻擊就是透過port445)(5/15更新)
詳細說明:
關於第一點,基本上很多對電腦資安不熟的人很容易犯這種錯誤,
像是上次中毒者很多都是點選了在伊莉出現的假flash更新,
而該flash裡面除了真正的flash以外,
還夾帶了木馬程式,
接著,當勒索病毒藉由木馬程式進入受害者的電腦中之後,
便開始進行加密及勒索的動作,
但這部分因為是受害者自行放任病毒在自己的電腦裡做亂,
因此即便是win10也是會中鏢的。(目前win10中鏢案例皆為此種)
所以若需要對程式或系統進行升級,請至官網最為保險,
千萬不要因為他跳出來了,就點選下載或安裝。
第二點:
前陣子曾有一波專門「主動攻擊」win7系統的漏洞,
並使win7使用者中勒索病毒(這部分已在3/14有釋出系統更新檔),
(注意:但微軟一直有針對此部分進行安全性更新,可以的話還是開著自動更新吧!)
而win10相較於win8、win7,系統漏洞較少,
因此就目前為止,較能防範「主動攻擊型」的勒索病毒,
且自win8、win10的flash更新是與系統更新一同的,
所以只要自己跳出來說要更新的,
基本上應該都是病毒,較容易辨認。
但win10本身不防使用者自己讓病毒在電腦裡惡搞。
(因此除了系統防範以外,使用者習慣才是最重要的)
另外,微軟也多次針對防堵勒索病毒而提供更新檔,
因此建議使用者也要將電腦更新至最新版。
第三點:
建議移除flash,現在看youtube也已不是使用flash了,
而是html5,所以本來使用到flash的機會就少很多了,
再加上移除的話,可以避免因為flash漏洞而中鏢。
若不方便移除的話,請更新flash至最新,
且也請將chrome或火狐更新至新版,
新版chrome需經由使用者同意才得以在該網頁啟用flash,
以避免遇到夾帶病毒的flash檔。
第四點:
安裝擋廣告的插件在瀏覽器上可預防放在廣告中的病毒。
根據pcdvd「野口隆史」表示,「擋廣告套件原理只是把你不要的網頁元素隱藏,實際上都已經經過瀏覽器解析了」,所以效用不大,因此「建議用支援http scan的防毒軟體會比較適合」(5/10更新)(megakotaro/mobile01補充及說明)
第五點:
使用防毒軟雖無法達到完全防堵,但起碼多一個保障。
而有些人推薦同時使用兩種防毒軟體,但不建議且不可行。
可以安裝一款「防毒軟體(AntiVirus)」和一個「防惡意軟體(AntiMalware)」的程式。
第六點:
該腳本是為了萬一的時候,可以降低損失,
不過似乎已經有...
可以偵測出哪些是常用檔案而優先進行加密的勒索病毒了,
但基本上也算是做個保險,反正也不會太吃電腦資源。
第七點:
所謂的備份是不可以跟電腦檔案同步的,
且即便是透過外接式硬碟或隨身碟等進行備份,
也不可以長時間與電腦連接,
不然萬一勒索病毒開始加密了,
便會將那些所謂的「備份」給一起加密,
那備份就沒有意義了,因此除了傳輸檔案之外,
請注意權限以及不要將硬碟/隨身碟一直插在電腦上。
補充:若要使用與本機同步的網路硬碟的話,建議使用有版本還原功能的,
像是一般人常用的dropbox及google雲端皆有網路還原功能,
只是目前dropbox與google雲端若要還原檔案需一個個去點及還原,
稍微有點麻煩,可考慮使用Crashplan等有還原至特定時間點功能的NAS。
第八點:
若加密時人在電腦前面的話,較可以儘早發現異常,
例如說硬碟無緣無故地開始大量讀取、有些電腦檔案變得無法開啟等狀況,
此時可以立即進行斷網、強制關機、斷電等處理,以避免資料損失擴大。
但也請特別留意一下,
若防毒軟體已啟動反殺及回滾的程序的話,請待防毒軟體跑完,
有機會遏止加密狀況、刪除加密程序,並使檔案恢復原狀。(6/2更新)
第九點:(5/12更新)
對於硬碟內資料的存取及修改皆需要一定的權限,將權限降低可以防止勒索軟體寫入。
第十點:(5/12更新)
我的電腦/本機>遠端設定>將「允許到這部電腦的遠端協助連線」的勾勾給取消。
鑒於最近很多人疑似因為遠端開起的關係而被植入會引來勒索病毒的東西,
因此建議把內建的遠端連線功能的勾選取消。
第十一點:(5/15更新)
危險的port並非僅有此次大家在說的445(SMB服務/網路芳鄰功能),
另外如....
135/TCP,UDP
137/TCP,UDP->NetBIOS
138/TCP,UDP->NetBIOS
139/TCP,UDP->NetBIOS
445/TCP,UDP->
其他像是593 1025 3389(遠端桌面協定) 這些用不到也可以一起關閉
(可封的port參考:Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統/qxxrbull (XPEC)/PTT)
至於關閉方式的話有很多種,像是透過路由器、防毒軟體(附防火牆)、系統防火牆等,
也可透過僅開放白名單的方式來限制自己可以使用的範圍。
但.....
在關閉前請先確認此port是你沒有要用的才關閉,
以避免關閉該port才發現自己有在用的功能已無法使用!
(常見Port的用途請參考:[網路管理]常用 port 說明/大智(若愚)/點部落)
Q5.我下載並安裝了了伊莉的Flash假檔了,該怎麼辦?
A5.請參考這兩篇文章:
Q6.我中鏢了,而病毒已經開始加密了怎麼辦?
A6.立即切斷網路並立即強制關機,以免災情擴大,
並將電腦交由專業的人來處理,
千萬不要啟動防毒軟體硬碰硬,
以免原本能救回的檔案都無法救回來了。
*注1:「斷網」此一動作僅適用於早期剛開始加密,
而與本機同步的其他主機或網路硬碟尚未將更新檔上傳完畢的時候,
為保護其他相連電腦也一並遭受感染,
以及放在網路硬碟上的檔案遭更新(變成已加密檔),
因此需要立即斷網,
亦可立即強制關機後立即將電腦電源拔除,使該電腦本身與網路隔絕。
但若已加密完畢或已全數上傳、更新完畢的話,則不適用。
但也請特別留意一下,
若防毒軟體已啟動反殺及回滾的程序的話,請待防毒軟體跑完,
有機會遏止加密狀況、刪除加密程序,並使檔案恢復原狀。(6/2更新)
Q7.我中鏢了,且檔案已全數被加密完成了。
A7.
1.不要以防毒硬碰硬,以免檔案即便解密也無法再開啟,
且也有可能因此無法開啟付贖金的勒索視窗或下載解密程式。
2.嘗試目前部分防毒軟體公司所釋出的解密工具。
(趨勢等公司所釋出的解密程式已可解密部分類型)
(或是也有些外國人自己研究出來的解密方式也可以嘗試)
3.解密失敗的話,請將硬碟留下,可以的話直接拆下保存,
不行的話,請找顆硬碟對拷。
目前很多無論是破解得來或是付贖金得來的解密程式需檔案在原處才可復原,
因此不建議搬移,故在這邊建議對拷或直接將該硬碟封存。
雖然有些人可能會付贖金讓檔案還原,
但為不助長此風,因此若自己已有備份的話,
請還是不要付贖金來了事,
除非檔案真的很重要且沒備份到再考慮,
畢竟也要把被撕票的可能性一起思考清楚。
4.若要自己重灌的話,請「完整格式化」硬碟之後再重灌。(5/15更新)
之前有看過重灌後仍復發的狀況,
因此經過完整格式化之後,再重灌,
另外,若只重灌系統槽(一般為C槽)的話是不夠的,
除非你能保證D槽已經沒有藏匿病毒或引起復發的任何條件。
Q8.中毒的話是否能請硬碟救援或防毒軟體等公司來救資料?
A8.基本上每一隻病毒對應每一台電腦時加密的密碼都不同,
因此真正的密碼只有作者手上才會有,
在此種狀況下,也只能用暴力解法,
而在位數多的狀況下,使用暴力手法是非常沒有效率的,
即便用國家級的超級電腦進行運算,也需要花上非常久的時間,
因此沒辦法,除非是已有解法被釋出了。
==========
目前由防毒軟體公司公開的解密工具連結:
Dr.Web (該軟體使用者可免費解密;否則須另支付一筆費用)(5/10更新)(megakotaro/mobile01補充及說明)
用於辨識勒索病毒種類網站(感謝KevinYu0504/mobile01補充):
使用方式 -
進入網站後,
有三種測試方式,可以選擇其中一種即可。
(1).
左邊的【Ransom Note】意思就是勒索病毒提供的綁架說明檔案,
比較常見的都是 html(網頁檔)、txt(筆記本檔)、jpg(圖檔) 等等。
如果沒有提供任何綁架說明文件,可以跳過。
(2).
右上方的【Sample Encrypted File】意思是你被加密的檔案,
請直接用下方的 " 瀏覽 " 選項,上傳隨便一個你被加密的檔案上去。
(3).
右下方的【Addresses】意思是指地址,可以輸入綁架者提供的 電子信箱位置、
勒索說明檔案中提供的綁架網址。
找尋到勒索病毒的名字後,可去依關鍵字尋找解密工具,
若資料庫未有建檔或無法辨識的話,可能就是變種的病毒。
====
推測win7 1月份的安全性漏洞補丁正是防堵此次假flash player案例中入侵的漏洞,
因此建議win7使用者須連同一月份的KB3216771也一起更新
==========
5/13 文章更新-
WIN7/WIN8.1使用者請參閱下列網址更新五月份的安全更新:
Microsoft Update目錄-官方載點(似乎沒有中文版,確定有英文版和日文版):
(要尋找該次更新版本的話)
(用搜尋或是直接把網址KB後面的數字改成該次版本的數字即可)
(注意:但微軟一直有針對此部分進行安全性更新,可以的話還是開著自動更新吧!)
(資料來源:【情報】綁架病毒漏洞更新檔/巴哈)
WIN7迷版使用者請參考此篇(6/2更新):
==========
同時發布在Mobile01:
-
以及巴哈小屋
-
PTT
=====================
以上內容不針對特定勒索病毒(目前勒索病毒已有太多變種),
而本文是針對目前已知的所有類型進行介紹和補充,
不過由於不針對特定勒索病毒,因此無法詳細介紹各種類型的預防方式及解法。
至於部分報導中表示我(敏江)說.....
「「哭哭」病毒會透過flash的漏洞進行主動攻擊,常被侵入的系統包括 Windows XP/Vista/7/8/8.1等,較新的系統Windows 10 則不受影響。」
我可沒這樣說喔!!
像昨天(5/12)那波就是針對win7/win8/win8.1的漏洞進行「主動式攻擊」,
而非「透過flash漏洞」,因此為預防昨天那種攻擊,
除了防火牆等設置之外,還請「更新」系統。
=====================
因為很多人誤會且提問,所以我把這一段直接擺上來....
(感覺文章越來越長了....)
・5/12那波想哭攻擊與flash無關。
・先前伊莉被植入假的flash檔的部分已被移除。
・下載到假flash不安裝且刪檔的話,並不會中毒。
・安裝了假flash檔的話,並非直接中勒索病毒,而是被植入「木馬」,勒索病毒是藉由木馬進入電腦中的,因此才會產生有空窗期/潛伏期的錯覺。
・駭客也會flash本身的漏洞使電腦中毒,但flash本身並非病毒。
=====================
然後,雖然本身沒有要特定針對哪一款勒索病毒進行介紹,
不過還是轉貼一下5/12鬧得沸沸揚揚的「WannaCry」相關介紹文章....
=====================
更新項目:
5/10 - 不可同時安裝兩款(含以上)的防毒軟體。
5/10 - 須關閉遠端功能,另推薦Cybereason RansomFree
5/10 - 進行「權限控管」,讓「一般使用者」的權限降低。
5/12 - 增加關閉內建遠端相關說明。
5/13 - 更新更新windows 更新檔連結,以下為有提供更新檔的版本:
xp sp3、vista、win8:KB4012598
win7:KB4019264
win8.1:KB4019215
5/15 - 關閉用不到的port。
5/15 - 重灌請「完整格式化」後再重灌。
6/02 - 新增「關機前應留意防毒是否有進行反殺及回滾。」
達人
