【電腦勒索病毒軟體】一看就懂 |大救援行動 |何謂勒索病毒 |
勒索病毒是近年來十分一款惡意程式,企業遭勒索病毒威脅事件頻傳。如何才能預防個人或公司電腦遭勒索病毒侵襲?若遇到勒索病毒文件副檔名改掉,這時候該怎麼辦?本文藏私分享,感染勒索病毒時 3 處理程序,並詳細解説防勒索病毒攻擊 5 處理方法,教你如何破解並抵禦勒索病毒侵害!
當受害者發現文件加密開啟,目錄開始出現像是 crypt、.XXX、.locky 或 radman 副檔名時,表示電腦感染勒索病毒。這時受害者會收到要求支付贖金勒索訊息,唯有支付贖金才能取得解密金鑰,使電腦系統或檔案解鎖復原。然而,有數受害者支付贖金後,發生資料解密情形。
勒索病毒副檔名改掉,該怎麼辦?
層出不窮勒索病毒攻擊事件,行政院國家資通安全會報技術服務中心提供了應變處理程序。若感染勒索病毒時,可採取如下 3 個措施:
若沒有多檔案加密且有資料備份,可重灌系統讓電腦回復成乾原始狀態。但重灌前記得確認電腦本身風險狀態,避免漏洞而感染。
預防勒索病毒攻擊,5 知處理方法!
,企業應採取第一個行動,是確保不論資料何種方式破壞,要能夠完全恢復。擁有 AWS 帳號啟用 AWS Backup 和 AWS Elastic Disaster Recovery 服務,可完成自動化備份及復原應程式。當遭到勒索病毒攻擊時,可減少停機時間、降低資料遺失。
企業和公部門組織因遵循監管和法遵標準約束,能有助於維持系統安全性,並得以進行資訊安全風險評估。除此之外,有 AWS 帳號人,可參考採用 AWS Well-Architected Framework 框架作為基準,保以最佳實務部署雲端系統。
電子郵件、Facebook、Twitter、其他社交媒體貼文,或即時訊息聊天或 SMS 聊天中開啟惡意或錯誤結。
如果您電腦製造商開啟檔案,請使用檔案歷史記錄備份檔案。 深入瞭解檔案歷程記錄。
Microsoft OneDrive 中儲存檔案。 OneDrive 包括 內建勒索軟體偵測和復原 以及檔案版本設定,讓您可以還前版本檔案。 您編輯儲存在 OneDrive 中 Microsoft Office 檔案時,系統會儲存您作業。
使用安全新式瀏覽器,例如 Microsoft Edge。
定期啟動您電腦;一週一次。 此動作可協助確保應用程式和操作系統狀態,並協助您系統運作。
附註: 如果您是小型企業擁有者,請考慮使用 Microsoft 365 商務進階版。 其中包含 Microsoft Defender 進階威脅防護,可有助於保護您業務防備線上威脅。深入瞭解 Microsoft 365 商務進階版安全性
如果您擔心電腦可能感染病毒,請使用反惡意程式碼程式 (例如 Windows 安全性)。 例如,您新聞中聽見程式碼或注意到電腦上行為時。 請參閲 Windows 安全性中病毒威脅防護可協助您掃描裝置上威脅。
很,您看到某種類型通知 (可能是一個視窗或應用程式內,或是一則螢幕訊息) 要求您付款取得電腦或檔案存取權限之前,勒索軟體會現身。 這些訊息您檔案遭到加密後會顯示。
請嘗試使用 Windows 安全性電腦。 建議您嘗試復原檔案前進行此項操作。 另請參閲 Windows 備份,取得您 Windows 版本檔案備份關説。
請支付任何金錢來復原您檔案。 即使支付贖金,無法保證是否可以取得電腦或檔案存取權限。
若您支付贖金,請連絡您銀行及當地主管機關。 若您使用信用卡付款,您銀行可能可以封鎖該筆交易,並將款項歸您。
勒索病毒本身會加密,因此無法用暴力方式取得解密金鑰,想要救回資料唯一方式,只能從之前備份來原資料。
勒索病毒運作方式讓這項威脅具破壞力,其他類型程式會破壞或竊取資料,不過有其他回復方式。但遇到勒索病毒,只要之前沒有做好備份,您支付贖金來取回資料。有時候,就算企業支付了贖金,歹徒還是會提供解密金鑰。
延伸閱讀…
類型勒索病毒會類型檔案,但有些檔案是共通目標。大多數勒索病毒會攻擊 Microsoft Office 檔案,因為這些檔案含有業務資訊。攻擊檔案可提高受害者支付贖金機率。
當勒索病毒完成檔案加密後,它會顯示一份訊息受害企業勒索。駭客會訊息中要求受害者支付一筆贖金來解開加密檔案,贖金幾百美元幾百萬美元。若企業沒有支付,勒索病毒會提高贖金。
有些勒索病毒攻擊會採取雙重勒索技巧,駭客會要求一筆贖金來解開檔案之外,會列出之前遭攻擊不肯支付贖金企業機構來暗示可能後果。雙重勒索技巧會讓受害者願意支付贖金以免品牌名形象受損。
勒索病毒資料加密與防止使用者取得解密金鑰手法上各有差異。舊式勒索病毒大多使用「用户端」或「伺服器端」稱式加密,但有些採用對稱式加密。新式勒索病毒會結合兩者來提高攻擊。
今日勒索病毒駭客很少只用稱式加密,稱式加密不論加密或解密使用同一金鑰,這金鑰儲存在本機系統上。因此,只要資安專家及研究人員能找到這金鑰,能直接將資料解密而需支付贖金。瞭解這項問題,駭客現在大多採用混合式加密。
稱式加密會使用一把所謂「公開金鑰」來加密 ,然後使用另一把所謂「金鑰」來解密。一個常用加密演算法 RSA 加密 (這是 HTTPS 協定所用加密方式)。速度上,RSA 加密稱式加密許多,而且駭客所有檔案加密完成後才能將金鑰發送給伺服器。
勒索病毒會完成加密、將金鑰傳給駭客的伺服器後,金鑰刪除。此時駭客有一個風險電腦有可能完成加密之前離線。這樣情況下,駭客的伺服器會收到金鑰,如此一來駭客無法勒索贖金。
伺服器端稱式加密會電腦上線時執行檔案加密,藉此解決用户端稱式加密問題。駭客的伺服器會產生「公開/」金鑰,然後伺服器公開金鑰來檔案加密。
延伸閱讀…
當受害者支付贖金時,駭客會提供金鑰受害者檔案解密。這樣作法駭客風險是,您可以金鑰傳送過程中加以攔截,能取得金鑰。取得金鑰,能分享給其他受害企業,讓勒索病毒失去威脅作用。
駭客發現,早期勒索病毒會有上述弱點,因此他們設計了一種混合式加密機制。這個機制中,軟體會產生兩組成對金鑰,配合串加密來解決先前問題。這一連串加密運作方式如下:
測試時他們是新安裝每一套防毒軟體後,確保即時防護有開啟,然後執行 150 個病毒。,會確保其他防毒軟體移除。桌面放了幾張紳士圖片檔案,用來檢查是否勒索病毒加密。
是 Windows 內建 Defender,執行病毒檔時,Defender 跳出偵測到病毒威脅,讓這個程序繼續執行,而且跑到一半進入藍色機畫面,並進行重開機。開機後一切運作,圖片加密,Defender 防毒有啟用,所以防護:
小紅傘他們測試兩次,第一次可能是因為執行病毒檔,沒有等到完成,結果防護失敗。第二次傘完後執行,防護住了,會強制重開機:
趨勢科技,執行病毒檔後跳出超多封鎖可疑檔案視窗,不到 20 秒重開機,圖片加密,防護:
AVAST 防護,阻擋所有病毒以及重開機:
諾頓 360 執行 150 個病毒檔時,全部顯示拒絕訪問,防護,而且是,諾頓並沒有強制重開機電腦:
熊貓安全免費版宣告失敗,不僅防護住,還直接顯示 “感染病毒”,桌面紳士圖片勒索病毒加密:
卡巴斯基防護了,沒有中毒且檔案加密,過程中有強制開機:
是後 ESET NOD32 則宣告失敗,有跳出中毒視窗,桌面紳士圖片加密: