小心 Cryptowall 勒索病毒

我想有在逛 PTT 或 Mobile01的人應該多少都知道慘況了。

不過可能還是有人不知道,所以還是稍為簡介一下:簡單來說這種病毒會用幾乎不可能被破解的鑰匙鎖住你的檔案,並勒索一定的金額才提供解碼。

目前的紀錄指出,應該是透過 Flash 和 JAVA 這種外掛程式進行感染,所以沒有任何瀏覽器甚至系統平台可以倖免。
( Android, Linux, Mac上確認都有變種出現 )

雖然卡巴斯基和 Bitdefender相繼釋出解密金鑰,但是不一定會對你的檔案有效!

整理幾個重點如下:

  1. 付了贖金能不能拿到解碼金鑰則不一定,有人拿到有人沒有。
  2. 任何網站都可能感染你,即使是大型網站,也有資料指出某個大陸網盤的廣告受到感染
  3. Windows系統 XP最容易受感染,Win 7 – Win 10 即使 UAC開啟,依然會中
  4. 防毒軟體可以攔截,但多半來不及
  5. 感染的檔案都是常見的圖片、音樂、影片、文件等
  6. 感染的區域從 C 開始依序往後擴散,任何有權限讀取的地方都是感染點,包含網路芳鄰資料夾…等
  7. Win 7 以上的系統還原有機會救回檔案,前提是有做系統還原點以及沒有關閉 UAC (病毒會刪除系統還原點)
  8. 沙盒軟體、虛擬機軟體目前可以防止病毒越界擴散
  9. 檔案保護軟體 (可鎖定檔案資料夾) 的軟體目前可以阻止檔案被加密
  10. 檔案改成唯讀不具有保護效果 (因為重點是目前使用者是否有權限)
  11. 發現開始加密時,直接拔掉電源可以阻止,但是可以救回多少則看電腦效能 (效能越高加密越快)

所以說,目前看來幾個改善自己悲劇的方法有:

  1. 不要使用 Flash 和 JAVA
  2. 不要關閉 UAC,而且要調到預設或更高的規則
  3. 要做系統還原點,而且要做備份 (最好做在額外的硬碟,備份完就拔掉電源不要與電腦連上)
  4. 使用防毒軟體、使用防火牆
  5. 如果需要,可以使用沙盒軟體或虛擬機上網
  6. 要使用 ABP 之類的廣告過濾軟體

JAVA和 Flash可以從控制台移除,Maxthon自帶的則是:

Program FilesMaxthonCoreWebkitNpplugins

找到「NPSWF32」開頭的都刪除!

如果你不想要移除,可以透過下面的方式
Maxthon設定 > 進階設定 把「允許所有網站執行外掛」 取消勾選,如此一來這些外掛程式將不會被執行 (包含 PDF,須改為下載檢視)。

針對這種惡意加密的病毒,已知有兩種針對性的安全軟體:

  1. Bitdefender Anti-Cryptowall
    Bitdefender推出,針對病毒容易躲藏的區域作防護,會將這些區域的執行檔封鎖,避免誤觸病毒
    如果你有安裝 Nitro, 你會發現 Nitro也被禁止了
  2. CryptoPrevent Malware Prevention
    Foolishit推出,針對 Windows自帶的群組原則功能修改為更嚴謹的方式,限制執行檔與使用者操作。
    免費版本提供保護功能與手動更新。

最後希望大家都安然度過,因為這個加密方式要被破解可能還需要很久,而且如果被破解可能有很多世界上的安全系統需要改寫。

 

One thought on “小心 Cryptowall 勒索病毒

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *