【個人電腦會中勒索病毒】中了勒索病毒 |勒索病毒的前兆有什麼 |緊急處理六步驟 |
勒索病毒是近年來十分一款惡意程式,企業遭勒索病毒威脅事件頻傳。如何才能預防個人或公司電腦遭勒索病毒侵襲?若遇到勒索病毒文件副檔名改掉,這時候該怎麼辦?本文藏私分享,感染勒索病毒時 3 處理程序,並詳細解説防勒索病毒攻擊 5 處理方法,教你如何破解並抵禦勒索病毒侵害!
當受害者發現文件加密開啟,目錄開始出現像是 crypt、.XXX、.locky 或 radman 副檔名時,表示電腦感染勒索病毒。這時受害者會收到要求支付贖金勒索訊息,唯有支付贖金才能取得解密金鑰,使電腦系統或檔案解鎖復原。然而,有數受害者支付贖金後,發生資料解密情形。
勒索病毒副檔名改掉,該怎麼辦?
層出不窮勒索病毒攻擊事件,行政院國家資通安全會報技術服務中心提供了應變處理程序。若感染勒索病毒時,可採取如下 3 個措施:
若沒有多檔案加密且有資料備份,可重灌系統讓電腦回復成乾原始狀態。但重灌前記得確認電腦本身風險狀態,避免漏洞而感染。
預防勒索病毒攻擊,5 知處理方法!
,企業應採取第一個行動,是確保不論資料何種方式破壞,要能夠完全恢復。擁有 AWS 帳號啟用 AWS Backup 和 AWS Elastic Disaster Recovery 服務,可完成自動化備份及復原應程式。當遭到勒索病毒攻擊時,可減少停機時間、降低資料遺失。
企業和公部門組織因遵循監管和法遵標準約束,能有助於維持系統安全性,並得以進行資訊安全風險評估。除此之外,有 AWS 帳號人,可參考採用 AWS Well-Architected Framework 框架作為基準,保以最佳實務部署雲端系統。
談到勒索病毒Ransomware (勒索軟體/綁架病毒) (以及所有惡意程式),預防於治療。來説,您目標要確保自己電腦會成為駭客理想攻擊目標,讓自己變得刺蝟一。此外,應變計劃,換句話説,要備份資料,這樣駭客您。以下提供一些步驟來協助您防範勒索病毒感染。
保護自己方法,遵照前述預防措施,然後安裝一套值得信賴防毒軟體。 如 趨勢科技 PC-cillin 「勒索剋星」可為您檔案提供多一層防護。》免費下載試用
如果您懷疑自己電腦可能感染了勒索病毒,請第一時間,完成以下六步驟,災害減到:
以下列出 10 項萬一您遭到勒索病毒攻擊時,您該做及不該做事。
自2016年開始勒索病毒出現到2017年wannacry傳播,到2020年WannaRen通過各大下載資源站傳播。勒索病毒了,給大家看一組數字。
各搜索引擎任意搜索下,帖是有,但95%以上是廣告貼和水貼,一些誤人子弟,深思熟慮寫帖子。病他們身上,開藥,治死償命啊!總得有人補上這個,各路大神,只有我有時間碼字。
原因三:不想複造輪子,別人同時自己
每天會有朋友通過各種渠道找到我,諮詢關於勒索病毒事情,每個朋友我要複一遍基本東西,而且還要表現得不厭其煩。其實內心接近崩潰,這重複得工作什麼時候是個頭。而寫完這個帖子可以節省很多時間,想想覺得刺激。
若屬於這種情況那麼你僥倖躲過一劫,但別得意,因為如果你安全時間加以重視,那麼有一天你數據會加密,這危言聳聽。
2019年我處理過一個典型案子。某集團企業郵件系統黑客攻破,但僅造成一台PC機中毒,IT部門抱着僥倖心理和大事化小態度格式化重裝系統並集中修改了郵箱密碼,並做其他任何安全防護工作。5個月後,整個集團20多台服務器全部攻破數據加密。 如下圖
步驟1:找準中毒原因,修復環節,避免二次中毒。
我建議企業找專業安全團隊進行溯源分析。如果不想花費這個費用並且你自己具備鑽研精神,那以下幾個思路入手。
2.服務器操作系統安全日誌查找;(windows安全日誌,下圖中日誌黑客清空了)
時間允許花我後續會寫一篇詳細溯源教程配合工具使用方法,
(–勒索病毒溯源分析教程貼預留位置,如有安全大牛贊助此貼或者有現成帖子請告知-)
GHOST版本系統有多系統漏洞和預裝軟件後門。如果企業單位批量電腦,建議自己動手做一個乾母盤進行安裝。個人電腦建議版一步步安裝。
任意一個勒索病毒變種可以躲開所有殺毒軟件和防火牆。這是什麼廠商殺毒軟件和防火牆持續不斷自己病毒庫原因,因為只有安全人員捕獲了病毒特徵才有機會識別並殺掉病毒。這意味着肯定得有一部分人要先中毒犧牲掉自己,才能引起各殺和防火牆公司注意。
步驟1. 通過PE模式或者安全模式進入服務器,數據備份一遍(是全盤備份一個移動硬盤)
什麼要安全模式或者PE模式下,因為部分勒索病毒加密數據後會註冊表中修改開機啓動,如果你安全模式下或者PE模式下,那麼有可能你插上移動硬盤後你移動硬盤裏面數據會加密。
什麼是全盤備份,因為有些黑客解密程序要用到你本地機器上勒索信公鑰。如果這些文件你備份時候沒有備份,即使後續出來免費解密程序你無法解密。
原因1:中毒服務器不關機,有可能從內存DUMP中找到加密私鑰(我們此方法找到過過密鑰)這種方法找到私鑰可能性,但是一種可能。
原因2:如果服務器數據量,黑客加密程序正在加密過程中突然斷電,那麼會導致這個文件加密,徹底損壞掉。即使黑客無法解密此類文件。這個道理很理解,好比你正在編輯一個EXCEL,如果沒有保存直接斷電,很可能這個EXCEL打開會亂碼。財務工作人員應該遇到過這個問題。因為我修復過很多這種原因損壞EXCEL。
企業發現服務器中毒後往往是裝各種殺毒軟件殺毒,錯!!!錯!!!錯!!!如果發現中毒後第一時間進行殺毒,反倒會破壞服務器中毒後原始狀態,後面數據恢復和解密造成很多不便。
殺毒之前應該做備份,如果中毒機器是虛擬機,那麼做一個克隆。如果中毒機器是物理機一個移動硬盤進入安全模式或者PE模式將中毒機器中數據先備份下。
1:no moreransom 是一個國際反勒索聯盟組織,裏面收集了很多免費解密工具。例如很出名GandCrab 5.2解密程序這裏可以下到。
2: Emsisoft 是一家新西蘭防止惡意軟件公司,他們有自己研發免費解密工具,但大多是早期病毒。
如果嘗試自己文件是否能免費解密程序解密,要一小部分文件拷貝到一台無關電腦上做測試。確定可以解密後大批量解密,且不可原始服務器上進行解密測試,所有解密程序是需要對文件進行寫入操作,操作錯誤可能會導致文件徹底損壞。
延伸閱讀…
知道是哪位專家普及常識“只要是黑客加密數據無人能解,黑客自己”
實際上如果想直接稱加密數據暴力破解掉,現在計算能力,是實現。關於稱加密這裏有詳解説,你看完知道什麼專家們那麼下結論了
黑客了這種方式加密,我們什麼非要逼着自己逆向解密出來才算解密????道只有這樣才能拿一百分?????顯得牛XXX???我們要是數據,只要能數據拿回來,只要是合法方法應該採納。我下面這些方法來解密勒索病毒。
這是一個泛微OASQL數據庫, 5ss5c勒索病毒加密了。加密只是數據庫中一部分數據而已,並非整個數據庫會加密,因為黑客加密過程中加密時間和加密質量。如果字節加密耗費時間,那麼來不及加密大量數據會客户發現,如果想加密無法全字節加密。這了我們可以修復方法。提表數據庫後數據如下圖
是不是通過曲線救國方式實現了解密數據目的?! 但 但 但是以上方法主要數據庫。如果不是數據庫文件,並且文件100M 那麼可以通過這種方式修復。但手工修起來。數據庫很少有文件具備這麼價值。
1:如果勒索加密是數據庫類型文件。 例如泛微OA,通達軟件,金蝶,用友,管家婆,醫院HIS系統需要恢復數據數據庫類型文件。
A:勒索病毒於病毒,它是使用系統允許方式進行檔案加密,讓使用者若沒有該密碼無法開啟檔案。
接著,軟體會無法開啟檔案使用者進行勒索,目前勒索多要求虛擬貨幣「比特幣」(bitcoin)來付贖金,受害者付完贖金後給予「」解密程式,讓受害者得以檔案復原。
但另一方面,不是沒有撕票可能,因此,付完贖金後只是「有機會」救回檔案資料。
A:雖然有些防毒軟體主打預防「勒索病毒」,但為止,仍未有任何一家防毒軟體可以100%預防,頂多能降低風險。
有些人會推薦同時使用兩款防毒軟體,但尤金卡巴斯基説,安裝兩款防毒軟體技術上是可行。不過,可安裝一個「防毒軟體」(AntiVirus)和一個「防惡體」(AntiMalware)程式。(註1)
A:非,勒索病毒會透過flash漏洞讓使用者中毒,或是冒充見軟體方式來讓使用者它們做亂。前陣子有出現過「主動攻擊」win7系統漏洞,使win7使用者中鏢。
以上幾種自己病毒做亂以外,不管是透過flash使電腦中鏢,或是主動攻擊win7漏洞,是加密完成前察覺。之前Yahoo有出現過廣告夾帶勒索病毒而使大量電腦中獎例子。另外,「遠端功能」有機會中鏢,如CRYSIS可暴力破解遠端線密碼。(註2)
A:列出幾個要留意點,詳細會本條後説。
延伸閱讀…
2. 升級Win10,並系統。
3. 移除flash,並Google Chrome瀏覽器升級新版。
6. 雖然説上防,但可以使用他人製作腳本來減低中鏢時損失。請參考:綁架病毒對策:監控小腳本/PTT。另推薦Cybereason Ransom Free,與上述腳本類似,偵測到加密行為時會跳框並阻止(註3)
7. 雖然不是預防勒索病毒本身,但為維護資料安全,請三種形式進行備份,並且有一種異地備份(如雲端)。
9. 進行「權限控管」,讓「使用者」權限降低,防止勒索軟體寫入系統檔。(註4)
第一點,很多電腦資安人犯這種錯誤,像是這次中毒者很多是點選了伊莉論壇出現假flash,該flash裡面flash以外,夾帶了木馬程式。
win10於win8、win7,系統漏洞,因此目前為止能防範「主動攻擊型」勒索病毒,且win8、win10flash是系統一起,所以只要自己跳出來説要,基本上應該是病毒,較辨認。但win10本身防使用者自己讓病毒電腦裡搞。因此系統防範以外,使用者習慣才是。另外,多次防堵勒索病毒而提供檔,因此建議使用者要電腦最新版。
第五點:使用防毒雖無法達到完全防堵,但起碼多一個保障。有些人推薦同時使用兩種防毒軟體,但建議且可行。可以安裝一款「防毒軟體」(AntiVirus)和一個「防惡體」(AntiMalware)程式。
第六點:改腳本是為了萬一時候,可以降低損失,不過有「可以偵測出哪些是常用檔案而優先進行加密」勒索病毒了,但基本上算是做個保險,會吃電腦資源。
第七點:所謂備份是可以電腦檔案,且即便是透過外接硬碟或隨身碟進行備份,可以時間電腦連接。不然萬一勒索病毒開始加密,會那些所謂「備份」給一起加密,那備份沒有意義了。因此傳輸檔案之外,請注意權限,以及不要將硬碟/隨身碟插電腦上。
第九點:於硬碟內資料存取及修改需要權限,將權限降低可以防止勒索軟體寫入。(註8)
第十點:我電腦/本機>遠端設定>將「允許到這部電腦遠端協助連線」勾勾給取消。鑒於最近很多人疑似因為遠端開起關係,植入會引來勒索病毒東西,因此建議內建遠端線功能勾選取消。
Q5.我下載並安裝了伊莉Flash假檔,該怎麼辦?
Q6.我中鏢了,而病毒開始加密了怎麼辦?
Q7.我中鏢了,且檔案全數加密完成了……
1.不要防毒軟體硬碰硬,以免檔案即便解密無法開啟,且有可能因此開啟付贖金勒索視窗或下載解密程式。
2.嘗試目前部分防毒軟體公司所釋出的解密工具。例如趨勢公司所釋出的解密程式可解密部分類型,或是有些外國人自己研究出來解密方式可以嘗試。
3.解密失敗話,請硬碟留下,可以話直接拆下保存,不行話,請找顆硬碟拷。目前很多無論是破解得來或是付贖金得來解密程式需檔案原處才可復原,因此建議搬移,故這邊建議拷或直接該硬碟封存。
雖然有些人可能會付贖金讓檔案,但不助長此風,因此若自己已有備份話,請是不要付贖金來了事,除非檔案很且沒備份到考慮,要撕票可能性一起思考。
A:基本上每一隻病毒應每一台電腦時加密密碼,因此密碼只有作者手上會有,此種狀況下,只能暴力解法,而在位數多狀況下,使用暴力手法是沒有效率,即便國家級超級電腦進行運算,需要花上時間,因此沒辦法,除非有解法釋出了。
(2). 右上方【Sample Encrypted File】意思是你加密檔案,請直接下方「瀏覽」選項,上傳一個加密檔案。