近日全球超過100個國家都傳出遭「勒索病毒」軟體攻擊,這款名叫WannaCry的病毒軟體會對個人電腦裡的檔案強制加密,逼迫受害者購買虛擬貨幣「比特幣」來交換解密程式。勒索病毒的原理是什麼?一般人又該如何預防受害呢?網友敏江在台灣各大資訊論壇分享勒索病毒的介紹,也整理各路強者的補充說明,讓更多網友了解資訊安全的重要性!【本文獲作者授權,未經同意請勿轉載】
Q1.「勒索病毒」是什麼?
A:勒索病毒不同於一般病毒,它是使用系統允許的方式進行檔案加密,讓使用者若沒有該密碼便無法開啟檔案。
接著,軟體會對無法開啟檔案的使用者進行勒索,目前的勒索多要求以虛擬貨幣「比特幣」(bitcoin)來付贖金,在受害者付完贖金之後再給予「一次性」的解密程式,讓受害者得以將檔案復原。
但另一方面,也不是沒有被撕票的可能,因此,付完贖金之後只是「有機會」救回檔案資料。
Q2.防毒軟體可以擋下「勒索病毒」嗎?
A:雖然有些防毒軟體主打預防「勒索病毒」,但至今為止,仍未有任何一家防毒軟體可以100%預防,頂多能降低風險。
有些人會推薦同時使用兩款防毒軟體,但依據尤金卡巴斯基的說明,安裝兩款防毒軟體技術上是不可行的。不過,可安裝一個「防毒軟體」(AntiVirus)和一個「防惡意軟體」(AntiMalware)的程式。(註1)
Q3.只要不去奇怪的網頁、不亂下載就不會有問題了嗎?
A:非也,勒索病毒通常會透過flash的漏洞讓使用者中毒,或是冒充成常見軟體等方式來讓使用者同意它們做亂。前陣子也有出現過「主動攻擊」win7系統的漏洞,使win7使用者中鏢。
以上幾種除了自己同意病毒做亂以外,不管是透過flash使電腦中鏢,或是主動攻擊win7漏洞,都是在加密完成前很難以察覺的。之前Yahoo也有出現過廣告被夾帶勒索病毒而使大量電腦中獎的例子。另外,「遠端功能」也有機會中鏢,如CRYSIS可暴力破解遠端連線的密碼。(註2)
Q4.那要如何預防「勒索病毒」?
A:先簡單列出幾個要特別留意的點,詳細則會在本條最後說明。
1. 不要亂點連結、不要在官網以外的地方「更新」任何東西。
2. 升級至Win10,並將系統更新至最新。
3. 移除flash,並將Google Chrome瀏覽器升級為新版。
4. 安裝Adblock等擋廣告的插件。
5. 安裝具有防堵勒索病毒的防毒軟體。
6. 雖然說不上預防,但可以使用他人所製作的腳本來減低中鏢時的損失。詳情請參考:綁架病毒對策:簡易監控小腳本/PTT。另推薦Cybereason Ransom Free,與上述的腳本類似,偵測到加密行為時會跳框並阻止(註3)
7. 雖然不是預防勒索病毒本身,但為維護資料安全,請至少以三種不同的形式進行備份,並且至少有一種異地備份(如雲端)。
8. 另外,為確保加密早期(檔案還未加密完畢時)可及早發現,盡量避免長時間掛網。
9. 進行「權限控管」,讓「一般使用者」的權限降低,防止勒索軟體寫入系統檔。(註4)
10. 關閉內建遠端。
第一點,很多對電腦資安不熟的人很容易犯這種錯誤,像是這次中毒者很多都是點選了在伊莉論壇出現的假flash更新,該flash裡面除了真正的flash以外,還夾帶了木馬程式。
當勒索病毒藉由木馬程式進入受害者的電腦中之後,便開始進行加密及勒索的動作,但因為是受害者自行放任病毒在自己的電腦裡做亂,即便是win10也是會中鏢的。目前win10中鏢案例皆為此情形。,所以若需要對程式或系統進行升級,請至官網最為保險,千萬不要因為視窗跳出來就點選下載或安裝。
第二點,前陣子曾有一波專門「主動攻擊」win7系統的漏洞,並使win7使用者中勒索病毒。微軟已在3/14釋出系統更新檔,微軟一直有針對此部分進行安全性更新,可以的話還是開著自動更新吧!(註5)
win10相較於win8、win7,系統漏洞較少,因此就目前為止較能防範「主動攻擊型」的勒索病毒,且從win8、win10的flash更新是與系統更新一起的,所以只要自己跳出來說要更新的,基本上應該都是病毒,較容易辨認。但win10本身不防使用者自己讓病毒在電腦裡惡搞。因此除了系統防範以外,使用者習慣才是最重要的。另外,微軟也多次針對防堵勒索病毒而提供更新檔,因此建議使用者也要將電腦更新至最新版。
第三點:建議移除flash,現在看youtube也已經不是使用flash而是html5,所以使用到flash的機會就少很多了。再加上移除的話,可以避免因為flash漏洞而中鏢。若不方便移除的話,請更新flash至最新,也請將chrome或火狐(Firefox)更新至新版,新版chrome需經由使用者同意才得以在該網頁啟用flash,以避免遇到夾帶病毒的flash檔。
第四點:在瀏覽器上安裝阻擋廣告的插件,可預防放在廣告中的病毒。但據pcdvd網友「野口隆史」表示,「擋廣告套件原理只是把你不要的網頁元素隱藏,實際上都已經經過瀏覽器解析了」,所以效用不大。因此「建議用支援http scan的防毒軟體會比較適合」(註6)
第五點:使用防毒軟雖無法達到完全防堵,但起碼多一個保障。有些人推薦同時使用兩種防毒軟體,但不建議且不可行。可以安裝一款「防毒軟體」(AntiVirus)和一個「防惡意軟體」(AntiMalware)的程式。
第六點:改腳本是為了萬一的時候,可以降低損失,不過似乎已經有「可以偵測出哪些是常用檔案而優先進行加密」的勒索病毒了,但基本上也算是做個保險,反正不會太吃電腦資源。
第七點:所謂的備份是不可以跟電腦檔案同步的,且即便是透過外接硬碟或隨身碟等進行備份,也不可以長時間與電腦連接。不然萬一勒索病毒開始加密,便會將那些所謂的「備份」給一起加密,那備份就沒有意義了。因此除了傳輸檔案之外,請注意權限,以及不要將硬碟/隨身碟一直插在電腦上。
補充一下,若要使用與本機同步的網路硬碟的話,建議使用有版本還原功能的,像是一般人常用的dropbox及google雲端皆有網路還原功能,只是目前dropbox與google雲端若要還原檔案需一個個去點及還原,稍微有點麻煩,可考慮使用Crashplan等有「還原至特定時間點」功能的NAS。(註7)
第八點:若加密時人在電腦前面的話,較可以儘早發現異常,例如,硬碟無緣無故開始大量讀取、有些電腦檔案變得無法開啟等狀況,此時可以立即進行斷網、強制關機、斷電等處理,以避免資料損失擴大。
第九點:對於硬碟內資料的存取及修改皆需要一定的權限,將權限降低可以防止勒索軟體寫入。(註8)
第十點:我的電腦/本機>遠端設定>將「允許到這部電腦的遠端協助連線」的勾勾給取消。鑒於最近很多人疑似因為遠端開起的關係,被植入會引來勒索病毒的東西,因此建議把內建的遠端連線功能的勾選取消。
Q5.我下載並安裝了伊莉的Flash假檔,該怎麼辦?
A:請參考這兩篇文章:有安裝伊莉假FLASH的參考下吧、Re:[請益] 最近少去伊莉/PTT
Q6.我中鏢了,而病毒已經開始加密了怎麼辦?
A:立即切斷網路並立即強制關機,以免災情擴大,並將電腦交由專業的人來處理,千萬不要啟動防毒軟體硬碰硬,以免原本能救回的檔案都無法救回來了。
請注意,「斷網」此一動作僅適用於早期剛開始加密、而與本機同步的網路硬碟尚未將更新檔上傳完畢的時候,為保護放在網路硬碟上的檔案遭加密,因此需要立即斷網,亦可立即強制關機後立即將電腦電源拔除,使該電腦本身與網路隔絕。但若已加密完畢或已全數上傳、更新完畢的話,則不適用。(註9)
Q7.我中鏢了,且檔案已全數被加密完成了……
A:
1.不要以防毒軟體硬碰硬,以免檔案即便解密也無法再開啟,且也有可能因此無法開啟付贖金的勒索視窗或下載解密程式。
2.嘗試目前部分防毒軟體公司所釋出的解密工具。例如趨勢等公司所釋出的解密程式已可解密部分類型,或是也有些外國人自己研究出來的解密方式可以嘗試。
3.解密失敗的話,請將硬碟留下,可以的話直接拆下保存,不行的話,請找顆硬碟對拷。目前很多無論是破解得來或是付贖金得來的解密程式需檔案在原處才可復原,因此不建議搬移,故在這邊建議對拷或直接將該硬碟封存。
雖然有些人可能會付贖金讓檔案還原,但為了不助長此風,因此若自己已有備份的話,請還是不要付贖金來了事,除非檔案真的很重要且沒備份到再考慮,畢竟也要把被撕票的可能性一起思考清楚。
Q8.中毒的話是否能請硬碟救援或防毒軟體等公司來救資料?
A:基本上每一隻病毒對應每一台電腦時加密的密碼都不同,因此真正的密碼只有作者手上才會有,在此種狀況下,也只能用暴力解法,而在位數多的狀況下,使用暴力手法是非常沒有效率的,即便用國家級的超級電腦進行運算,也需要花上非常久的時間,因此沒辦法,除非已經有解法被釋出了。
其他資訊:
◎ 目前由防毒軟體公司公開的解密工具包括:趨勢科技勒索病毒檔案解密工具、avast免費勒索軟體解密工具、ESET - 防毒軟體與間諜和程式保護(英文版)、卡巴斯基解密工具(英文)、Emsisoft解密工具(英文)、McAfee解密工具(英文) (註10)、Dr.Web(該軟體使用者可免費解密;否則須另支付一筆費用)(註11)
====================
◎ 用於辨識勒索病毒種類的網站:https://id-ransomware.malwarehunterteam.com/ 進入網站後,有三種測試方式,選擇其中一種即可。
(1). 左邊的【Ransom Note】意思就是勒索病毒提供的綁架說明檔案,比較常見的都是 html(網頁檔)、txt(筆記本檔)、jpg(圖檔) 等等。如果沒有提供任何綁架說明文件,可以跳過。
(2). 右上方的【Sample Encrypted File】意思是你被加密的檔案,請直接用下方的「瀏覽」選項,上傳隨便一個被加密的檔案。
(3). 右下方的【Addresses】意思是指地址,可以輸入綁架者提供的電子信箱位置、勒索說明檔案中提供的綁架網址。
找尋到勒索病毒的名字後,可去依關鍵字尋找解密工具,若資料庫未有建檔或無法辨識的話,可能就是變種的病毒。(註12)
====================
◎ 推測win7 一月份的安全性漏洞補丁,正是防堵此次假flash player案例中入侵的漏洞,因此建議win7使用者須連同一月份的KB3216771也一起更新。(註13)
◎ Microsoft Update目錄:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212(似乎沒有中文版,確定有英文版和日文版)
尋找該次更新版本的話,用搜尋或是直接把網址KB後面的數字改成該次版本的數字即可。
====================
註1~註4:megakotaro/mobile01補充及說明
註5:資料來源Re: [心得] 兩天內家裡兩台電腦都被勒索/Joba07/PTT
註6:同註1
註7:阿儒/mobile01補充說明
註8:同註1
註9:Chark.tw/mobile01補充說明
註10:KevinYu0504/mobile01補充及說明
註11:同註1
註12:同註10
註13:資料來源[情報] Windows Update 2017年1月份更新/hn9480412/PTT
芃 我們的政府有在處理嗎?
政府至少解決一下問題吧!
2017年05月14日01:32
🫠邊緣i人🚬 嘖嘖!那要開機嗎?因為每次開機我都是用手機網路連線的,所以平時我都是斷網的,只有要用才連,怕怕ㄟ!雖然沒啥東西但怕麻煩
2017年05月14日01:22
顯示全部