▲示意圖(圖/攝影者Hash Milhan, flickr CC License)
記者葉立斌/綜合報導
日前曾介紹過的「奪魂鋸」勒索病毒,就告訴大家勒索軟體的可怕,而現在有一波災情傳出。日前有網友在PTT提問,為什麼「所有照片文件MP3的檔名多了.cryp1」,並描述他電腦內jpg、pdf、mp3、txt等非系統檔案都被加密成.cryp1檔,就連桌面也被置換。不少鄉民說自己的工作用電腦中鏢,論文與簡報可能救不回,更有鄉民付錢救回檔案。資訊安全品牌趨勢科技表示,這是典型的勒索病毒。
在介紹如何對付前,先認識何謂勒索軟體。它是個會將重要檔案加密,不付贖金就無法救回的軟體。它可能會限制系統運作,除了付贖金,無法做其他操作;也可能會做加密型勒索,也是今年在全世界及台灣普遍造成嚴重危害的惡意軟體。它們藉由挾持受害者重要的檔案或系統,將受害電腦中的檔案加密,導致檔案無法正常開啟或讀取,會造成資料毀損或程式無法正常執行等情況,然後逼迫受害者支付一筆金額來贖回這些資料。由於重要檔案被加密無法開啟,受害者只能以高價向攻擊者購買解密金鑰,然而若是受害者沒有在期限內交付贖金,解密金鑰就會慘遭「撕票」,檔案再也無法開啟。可怕的是,趨勢科技表示,2015年發生在台灣透過網頁掛馬手法所進行的勒索軟體攻擊事件從第三季的43,015件,至第四季成長到152,929件,成長3.5倍。
勒索軟體的傳染途徑,以下三種最常見:
網路釣魚郵件:大部分的網路釣魚郵件內容多偽裝為你我都常順手點開看一看的快遞或郵寄通知、帳單或訂單,又或是應徵者履歷(針對企業用戶)最後則是退稅,發票或罰單。當使用者開啟偽裝為文件檔時,暗藏其中的惡意程式執行檔即會開始加密使用者的文件並進行勒索。
惡意廣告:惡意廣告的攻擊並不需要使用者的點擊,只要瀏覽器或是裝置出現惡意程式,使用者就會受到攻擊。此類攻擊分為兩種:
點擊前攻擊:透過如Java、Flash軟體漏洞、瀏覽器漏洞等弱點進行攻擊,使用者在單純瀏覽網頁的情況下即有可能遭受攻擊。
點擊後攻擊:當使用者點擊一個惡意廣告時,將會被指引至另一個含有惡意程式的網站下載惡意程式進行攻擊。
網頁掛馬:駭客入侵網站後,將惡意連結植入網站,拜訪該網站的使用者裝置將會被重導至惡意連結,在瀏覽網站的同時,也自動被導入駭客的攻擊伺服器,取得應用程式控制權並下載勒索軟體。
(如果你已受害,請點下一頁看如何急救,以及往後的預防措施。)
當你遇上勒索病毒,可以這麼做:
一般使用者:被勒索當下即時處置四步驟
1. 斷網:斷開網路連線
2. 斷電:馬上關機(5分鐘內還有機會有資料可以救回,但端看電腦速度)
3. 保留電腦,企業使用者請速通報資訊人員
4. 不要付錢
企業資訊人員緊急處理措施
1. 關閉帳號,暫時停止該帳號的網路存取登入權限
2. 檢查該帳號權限可以寫入的公用資料夾是否感染
3. 將硬碟取出,用其他電腦備份尚未被加密的檔案
4. 找出勒索病毒入侵管道
5. 利用趨勢科技採樣工具掃描,並後送趨勢科技進行分析
運用趨勢科技免費解密工具
趨勢科技已推出一款勒索軟體檔案解密工具Ransomware File Decrypto Tool 1.0版,主要是針對Cryptxxx 2.0版和TeslaCrypt v1、v3和v4版勒索軟體加密的檔案,提供另外解密的工具。但有媒體認為,這工具對變種版本無效,趨勢科技與卡巴斯基提供的解密工具暫時無法應付,可能有無效風險。
下載趨勢科技勒索病毒檔案解密工具:http://goo.gl/EBvlD6
預防勝於治療,企業與個人用戶要如何預防勒索軟體呢?趨勢科技PC-cillin2016雲端版可提供保護來防止螢幕鎖定和加密勒索軟體。如果這是一個已知的勒索軟體或變種,趨勢科技PC-cillin2016雲端版的即時掃描可以偵測並阻止其被下載或安裝。如果是一個未知的螢幕鎖定勒索軟體,趨勢科技PC-cillin2016雲端版可以阻止可疑的安裝行為,然後自動刪除有問題的勒索軟體。
如果螢幕鎖定勒索軟體繞過這些防禦,安裝並鎖住使用者的螢幕,還有兩個補救措施:趨勢科技PC-cillin2016雲端版的技術支援工程師可以幫助使用者解鎖電腦並刪除螢幕鎖定勒索軟體。針對會鎖定螢幕的勒索軟體,可以下載免費的趨勢科技防勒索軟體工具來解鎖受感染的電腦,刪除會鎖定螢幕的勒索軟體。