作者yo800810 (小敏)
看板AntiVirus
标题[科普]关於勒索病毒的常见问题与说明(内详) 5/12更新
时间Mon May 8 03:49:06 2017
本文同时发布在Mobile01:
http://0rz.tw/uiUHe
以及巴哈:
http://0rz.tw/2LVst(讨论板)
http://0rz.tw/A8ezo(小屋)
================================
因为作者偷懒,
PTT的此篇文不再更新,请至巴哈或01观看最新版本。
================================
稍微考虑一下还是把文PO过来了....
(对BBS排版苦手,若喜欢彩色版的请去01或巴哈看,谢谢!)
以下内容为个人这段时间以来看过各方说法及资料汇集而成的,
若有错误或需要补充的地方还请告诉我。
本篇将以「勒索病毒」进行「简易」的介绍。
==========
Q1.「勒索病毒」是什麽?
A1.勒索病毒不同於一般病毒,
他是使用系统允许的方式进行档案加密,
让使用者若没有该密码便无法开启档案,,
接着,在对想开却无法开启档案的使用者进行勒索,
目前的勒索多为以比特币(bitcoin)来付赎金,
接着,在受害者付完赎金之後给予「一次性」的解密程式,
使受害者得以将档案复原。
但另一方面,也不是没有被撕票的可能,
因此,付完赎金之後只是「有机会」救回档案资料。
Q2.防毒软体可以挡下「勒索病毒」吗?
A2.虽然有些防毒软体有主打预防「勒索病毒」,
但至今为止仍未有任何一家防毒软体可以100%预防,
顶多能降低风险。
另、有些人会推荐同时使用两款防毒软体,
但依据尤金卡巴斯基的说明,装两款防毒软体技术上是不可行的,
不过可安装一个「防毒软体(AntiVirus)」和一个「防恶意软体(AntiMalware)」
的程式。(5/10更新)
(megakotaro/mobile01补充及说明)<<部分详细说明未放上来,请至原串看。
Q3.只要不去奇怪的网页、不乱下载就不会有问题了吗?
A3.非也,勒索病毒通常会透过flash的漏洞使使用者中毒,
或是藉由冒充成常见软体等方式来使使用者同意他们做乱。
亦或是前阵子也有出现过「主动攻击」win7系统的漏洞,
使win7使用者中镖,以上几种除了自己同意病毒做乱以外,
不管是透过flash使电脑中镖,或是主动攻击win7漏洞,
都是在加密完成前很难以察觉的。
另、开启远端功能也有机会中镖,如CRYSIS可暴力破解远端连线的密码。(5/10更新
)
(megakotaro/mobile01补充及说明)<<部分未放上的内容可原串观看。
Q4.那要如何预防「勒索病毒」?
A4.先简单列出几个要特别留意的点,
而详细说明的部分,则会放到本项目的最後。
1.不要乱点连结、不要在官网以外的地方「更新」任何东西。
2.升至Win10,并将系统更新至最新。
3.移除flash,并将chrome升级为新版。
4.安装Adblock等挡广告的插件。
5.安装具有防堵勒索病毒的防毒软体。
6.虽然说不上预防,但可以使用他人所制作的脚本来减低中镖时的损失。
(详情请参考:
http://0rz.tw/yQWtP)
(另推荐Cybereason RansomFree,与上述的脚本类似,侦测到加密行为时会跳框并阻
止)(5/10更新)(megakotaro/mobile01补充及说明-部分未放上的内容可至原串观看)
7.虽然不是预防勒索病毒本身,
为维护资料安全,请至少以三种不同的形式进行备份,
并且至少有一种方式要为异地备份(如云端)。
8.另外,为确保加密早期(档案还未加密完毕时)可及早发现,尽量避免长时间挂网。
9.进行「权限控管」,让「一般使用者」的权限降低,防止勒索软体写入系统档。(5/10
更新)(megakotaro/mobile01补充及说明)<<部分未放上的内容可至连结内观看
10.关闭内建远端。(5/12更新)
详细说明:
关於第一点,基本上很多对电脑资安不熟的人很容易犯这种错误,
像是这次中毒者很多都是点选了在伊莉出现的假flash更新,
而该flash里面除了真正的flash以外,
还夹带了木马程式,
接着,当勒索病毒藉由木马程式进入受害者的电脑中之後,
便开始进行加密及勒索的动作,
但这部分因为是受害者自行放任病毒在自己的电脑里做乱,
因此即便是win10也是会中镖的。(目前win10中镖案例皆为此种)
所以若需要对程式或系统进行升级,请至官网最为保险,
千万不要因为他跳出来了,就点选下载或安装。
之前在yahoo也有出现过广告中被夹带勒索病毒而使大量电脑中奖的例子。
第二点:
前阵子曾有一波专门「主动攻击」win7系统的漏洞,
并使win7使用者中勒索病毒(这部分已在3/14有释出系统更新档),
(若仅要针对3/14漏洞补丁进行更新的话,请至
http://0rz.tw/Ebj0C下载)
(资料来源:Re: [心得] 两天内家里两台电脑都被勒索/Joba07/PTT)
(注意:但微软一直有针对此部分进行安全性更新,可以的话还是开着自动更新吧!)
而win10相较於win8、win7,系统漏洞较少,
因此就目前为止,较能防范「主动攻击型」的勒索病毒,
且自win8、win10的flash更新是与系统更新一同的,
所以只要自己跳出来说要更新的,
基本上应该都是病毒,较容易辨认。
但win10本身不防使用者自己让病毒在电脑里恶搞。
(因此除了系统防范以外,使用者习惯才是最重要的)
另外,微软也多次针对防堵勒索病毒而提供更新档,
因此建议使用者也要将电脑更新至最新版。
第三点:
建议移除flash,现在看youtube也已不是使用flash了,
而是html5,所以本来使用到flash的机会就少很多了,
再加上移除的话,可以避免因为flash漏洞而中镖。
若不方便移除的话,请更新flash至最新,
且也请将chrome或火狐更新至新版,
新版chrome需经由使用者同意才得以在该网页启用flash,
以避免遇到夹带病毒的flash档。
第四点:
安装挡广告的插件在浏览器上可预防放在广告中的病毒。
根据pcdvd「野口隆史」表示,「挡广告套件原理只是把你不要的网页元素隐藏,实际上
都已经经过浏览器解析了」,所以效用不大,因此「建议用支援http scan的防毒软体会
比较适合」(5/10更新)(megakotaro/mobile01补充及说明)
第五点:
使用防毒软虽无法达到完全防堵,但起码多一个保障。
而有些人推荐同时使用两种防毒软体,但不建议且不可行。
可以安装一款「防毒软体(AntiVirus)」和一个「防恶意软体(AntiMalware)」的程式
。
第六点:
该脚本是为了万一的时候,可以降低损失,
不过似乎已经有...
可以侦测出哪些是常用档案而优先进行加密的勒索病毒了,
但基本上也算是做个保险,反正也不会太吃电脑资源。
第七点:
所谓的备份是不可以跟电脑档案同步的,
且即便是透过外接式硬碟或随身碟等进行备份,
也不可以长时间与电脑连接,
不然万一勒索病毒开始加密了,
便会将那些所谓的「备份」给一起加密,
那备份就没有意义了,因此除了传输档案之外,
请注意权限以及不要将硬碟/随身碟一直插在电脑上。
第九点:(5/12更新)
对於硬碟内资料的存取及修改皆需要一定的权限,将权限降低可以防止勒索软体写入。
(megakotaro/mobile01补充及说明-部分未放上的内容可至连结内观看)
第十点:(5/12更新)
我的电脑/本机>远端设定>将「允许到这部电脑的远端协助连线」的勾勾给取消。
鉴於最近很多人疑似因为远端开起的关系而被植入会引来勒索病毒的东西,
-
补充:
若要使用与本机同步的网路硬碟的话,
建议使用有版本还原功能的,
像是一般人常用的dropbox及google云端皆有网路还原功能,
只是目前两种云端若要还原档案需一个个去点及还原,
稍微有点麻烦,
可考虑使用Crashplan等有还原至特定时间点功能的云端空间。
(感谢阿儒/mobile01补充说明)
Q5.我下载并安装了了伊莉的Flash假档了,该怎麽办?
A5.请参考这两篇文章:
http://0rz.tw/UzpeH(有安装依莉假FLASH的参考下/巴哈)
http://0rz.tw/kNUuA(Re: [请益] 最近少去伊莉/PTT)
Q6.我中镖了,而病毒已经开始加密了怎麽办?
A6.立即切断网路并立即强制关机,以免灾情扩大,
并将电脑交由专业的人来处理,
千万不要启动防毒软体硬碰硬,
以免原本能救回的档案都无法救回来了。
Q7.我中镖了,且档案已全数被加密完成了。
A7.
1.不要以防毒硬碰硬,以免档案即便解密也无法再开启,
且也有可能因此无法开启付赎金的勒索视窗或下载解密程式。
2.尝试目前部分防毒软体公司所释出的解密工具。
(趋势等公司所释出的解密程式已可解密部分类型)
(或是也有些外国人自己研究出来的解密方式也可以尝试)
3.解密失败的话,请将硬碟留下,可以的话直接拆下保存,
不行的话,请找颗硬碟对拷。
目前很多无论是破解得来或是付赎金得来的解密程式需档案在原处才可复原,
因此不建议搬移,故在这边建议对拷或直接将该硬碟封存。
虽然有些人可能会付赎金让档案还原,
但为不助长此风,因此若自己已有备份的话,
请还是不要付赎金来了事,
除非档案真的很重要且没备份到再考虑,
毕竟也要把被撕票的可能性一起思考清楚。
-
*注1:
「断网」此一动作仅适用於早期刚开始加密,
而与本机同步的网路硬碟尚未将更新档上传完毕的时候,
为保护放在网路硬碟上的档案遭更新(变成已加密档),
因此需要立即断网,
亦可立即强制关机後立即将电脑电源拔除,
使该电脑本身与网路隔绝。
但若已加密完毕或已全数上传、更新完毕的话,则不适用。
(感谢Chark.tw/mobile01补充说明)
Q8.中毒的话是否能请硬碟救援或防毒软体等公司来救资料?
A8.基本上每一只病毒对应每一台电脑时加密的密码都不同,
因此真正的密码只有作者手上才会有,
在此种状况下,也只能用暴力解法,
而在位数多的状况下,使用暴力手法是非常没有效率的,
即便用国家级的超级电脑进行运算,也需要花上非常久的时间,
因此没办法,除非是已有解法被释出了。
==========
==========
目前由防毒软体公司公开的解密工具连结:
趋势科技勒索病毒档案解密工具
http://0rz.tw/9hbyz
-
avast免费勒索软体解密工具
http://0rz.tw/yjrjq
-
ESET - 防毒软体与间谍和程式保护(英文版)
http://0rz.tw/Y8BuX
-
卡巴斯基(Kaspersky)解密工具(英文)
(感谢KevinYu0504/mobile01补充)
http://0rz.tw/IUwO8
-
Emsisoft解密工具(英文)
(感谢KevinYu0504/mobile01补充)
http://0rz.tw/rpbRz
-
McAfee解密工具(英文)
(感谢KevinYu0504/mobile01补充)
http://0rz.tw/lsL4r
-
Dr.Web
该软体使用者可免费解密;否则须另支付一笔费用(5/10更新)
(megakotaro/mobile01补充及说明)
http://0rz.tw/IzQS6
-
用於辨识勒索病毒种类网站
(感谢KevinYu0504/mobile01补充):
https://id-ransomware.malwarehunterteam.com/
使用方式 -
进入网站後,
有三种测试方式,可以选择其中一种即可。
(1).
左边的【Ransom Note】意思就是勒索病毒提供的绑架说明档案,
比较常见的都是 html(网页档)、txt(笔记本档)、jpg(图档) 等等。
如果没有提供任何绑架说明文件,可以跳过。
(2).
右上方的【Sample Encrypted File】意思是你被加密的档案,
请直接用下方的 " 浏览 " 选项,上传随便一个你被加密的档案上去。
(3).
右下方的【Addresses】意思是指地址,可以输入绑架者提供的 电子信箱位置、
勒索说明档案中提供的绑架网址。
找寻到勒索病毒的名字後,可去依关键字寻找解密工具,
若资料库未有建档或无法辨识的话,可能就是变种的病毒。
==========
5/8 文章更新-
WIN7漏洞补丁更新不是四月中,而是3/14,在上方已补上连结,
若要仅针对3/14释出的补丁进行更新的话,请至:
https://support.microsoft.com/zh-tw/help/4012212
(注意:但微软一直有针对此部分进行安全性更新,可以的话还是开着自动更新吧!)
(资料来源:Re: [心得] 两天内家里两台电脑都被勒索/Joba07/PTT)
====
推测win7 1月份的安全性漏洞补丁正是防堵此次假flash player案例中入侵的漏洞,
因此建议win7使用者须连同一月份的KB3216771也一起更新
https://support.microsoft.com/zh-tw/kb/3212646
(资料来源:[情报] Windows Update 2017年1月份更新/PTT)
(感谢hn9480412/PTT补充)
====
Microsoft Update目录(似乎没有中文版,确定有英文版和日文版):
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
(要寻找该次更新版本的话)
(用搜寻或是直接把网址KB後面的数字改成该次版本的数字即可)
==========
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.41.123.223
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1494186550.A.56F.html
1F:推 xjp004123: 专业推05/08 06:22
2F:推 qaz35775379: 用心 推05/08 08:10
3F:推 hung097: 推用心整理05/08 08:18
4F:推 kipi91718: 通整理05/08 08:43
5F:推 HuoJung: 推整理05/08 08:48
非常感谢,已改连结。
7F:推 a29358499: 感谢整理05/08 09:35
8F:推 hedgehogbaby: 请问现在还能win7免费升级win10吗?谢谢05/08 09:37
9F:推 Adven: 浏览器(像FX)有时也会要求更新flash 在伊莉传出有毒那几天05/08 09:49
10F:→ Adven: 同一时间flash确实也有更新版本05/08 09:49
12F:→ ms16140864: 微软网站的说明05/08 09:50
13F:推 lightbox: 用心 推05/08 11:49
14F:推 blakespring: 外接硬碟不幸有长时间连接也被加密05/08 11:56
15F:→ blakespring: 还好最重要的档案逃过一劫05/08 11:57
16F:推 hedgehogbaby: 感谢ms大告知升win10方式!谢谢05/08 12:22
17F:推 danny240220: 推05/08 12:39
18F:推 huang19898: 感谢 不过我有认识的说他的win10也中标05/08 13:09
目前win10的中镖案例基本上都是使用者自己造成的,
例如说安装东西结果其实里面已有暗藏病毒,
简单来说,
就是自行允许伪装过的病毒在自己电脑中作乱。
因此除非win10又被发现有什麽漏洞,
不然基本上只要使用者自己本身没有操作不当的话,
win10算是安全的,
但再强大的系统或防毒,
也无法保证不会因使用者习惯不好,
而造成资料的损失……
19F:推 WWWOOOXX: win7四月中释出的更新档 是KB多少呢? 05/08 16:25
20F:→ WWWOOOXX: 要帮学校电脑装 但是不能直接用微软升级 想说用抓的 05/08 16:26
抱歉,发现时间点打错了,是三月中的更新:
https://support.microsoft.com/zh-tw/help/4012212
晚点会更新在文章里面。
21F:→ Cagliostro: 还有一个是远端桌面软体用的帐密不要重复使用&用2FA05/08 19:19
22F:推 Cagliostro: 之前有因为帐密重复被远端植入病毒的案例(TeamViewer)05/08 19:21
23F:推 AprilE98: 真是太恐怖了QQ05/08 19:29
24F:→ hn9480412: 要更新的话麻烦连1月份的也要更新。1月份只有针05/08 22:55
25F:→ hn9480412: 对win 7修正一个本机安全性授权子系统服务(lsass)的安05/08 22:56
26F:→ hn9480412: 全性漏洞05/08 22:56
28F:→ hn9480412: 现在可以推测eyny的假flash player是透过这个漏洞入侵05/08 22:59
29F:→ hn9480412: 的05/08 22:59
感谢补充,已更新
30F:→ photoless: 自己觉得 软硬体的资安 以後会很重要05/08 23:49
资安一直都很重要唷,
尤其是现在数位产品及网际网路越来越贴近人们的生活,
像是手机、穿戴装置都连接着网际网路,
但在那些东西上面,不也有很多不是和外流或是宝贵的资料吗?
虽然说是防君子不防小人,但如果能有基本的资安观念的话,
可以降低很多不必要的风险~
31F:推 ppdog112: 推05/09 05:17
32F:推 ROGANJACK: 推整理05/10 02:39
33F:→ hn9480412: 5月份的Windows安全性更新有修正多个SMB漏洞05/10 12:10
34F:→ hn9480412: 建议有时间就尽快更新05/10 12:10
35F:推 vic0607: 正愁中标无解,推整理05/10 17:36
36F:推 trytofight: 原来伊莉那个flash是病毒啊,那天看到我也有点击下载05/11 09:49
37F:→ trytofight: 不过我的火狐一直下载失败,换成chrome也是下载失败05/11 09:50
38F:→ trytofight: 还好没中招05/11 09:51
39F:推 FantasyNova: 完全不建议用两个主要的防毒,第一占资源,效果慢05/11 10:17
40F:→ FantasyNova: 第二互相抢管理 抢权限 实际上没有比较好用05/11 10:17
41F:→ FantasyNova: 如果因此导致操作体验变慢 那跟硬体很强也扯不上关05/11 10:17
42F:→ FantasyNova: 市面是付费的主流antivirus进阶版本都带网路防护05/11 10:18
43F:→ FantasyNova: 理应都作全面性的规范,防毒软体应该是熟悉介面用习05/11 10:18
44F:→ FantasyNova: 惯,了解一些进阶选择排除比较适合重要05/11 10:19
请原谅身为原po的我没把所有文章同步更新……orz
昨天更正的内容的版本已更正这部分。
45F:推 a207352000: 感谢分享,找时间来试试05/11 18:28
46F:→ gwofeng: 安装多套但平时只常驻一个防毒就好05/11 19:11
47F:→ gwofeng: 像MalwareBytes adwcleaner这些定期扫一下清广告满好用的 05/11 19:12
※ 编辑: yo800810 (114.41.124.106), 05/12/2017 15:40:47
48F:推 lalafly: 请问可以只关机就好了吗 还是电源一定要拔呢 谢谢 05/12 22:37
只要病毒还没厉害到让你已关机的电脑自动开机的话,基本上关机同断电。
49F:推 se2422: 推 05/13 00:52
※ 编辑: yo800810 (114.41.124.106), 05/13/2017 01:45:15
50F:推 torren: 太感谢了 05/13 14:32
51F:推 KCDA: 推整理 05/13 20:10
52F:推 aqns13: 先推再看 05/14 11:28
54F:推 yuyukuo0205: 推 05/15 00:02