最近想必你我都常收到一封奇怪的信,主旨是 Order、Payment、Statemet、或有 # 符號的信,更奇特的是信件是由自己寄給自己,或是同事寄給你的,更可能讓你可以放下誡心的是附檔的檔案包含了自己的名字。
↑ 病毒信件
這類的信件就是傳說已久的勒索病毒,它會把你電腦中的檔案加密,如果沒有解密的金鑰,你的檔案就救不回來了,再也打開不了。
所以你能認為你能輕易的逃過這樣子的攻擊、惡意的行為嗎?
接著跟大家說明這隻病毒的運作狀況,信件的附檔內容是包含著一支 js 檔,當它被點開執行了之後,會默默的在背景裡執行,下載主要的加密程式,開始尋找電腦裡面的檔案作加密。
↑ 附件內容物
而可能會被加密的檔案有這些
db
docx
jpg
js
mp3
png
pst
rar
txt
wmv
xml
zip
↑ 這是我測試時,電腦裡僅存的檔案,不代表只有這些
當這些檔案被找出來後,勒索病毒會將它們一一的加密,最後會好心的跟你說,你的檔案都被加密了喔,要解開就到某個網站付完錢,才可拿到金鑰來解開被加密的檔案。
=|=~|_=+**_+
***._+..
=$|=*~-=*~*$$*__
!!!重要資訊 !!!!
您的所有檔已被RSA-2048 和AES-128暗碼進行了加密。
欲獲取更多關於RSA的資訊,請參閱:
http://zh.wikipedia.org/wiki/RSA加密演算法
http://zh.wikipedia.org/wiki/高级加密标准
只有我們的機密伺服器上的私人金鑰和解密程式才能解密您的檔。
如要接收您的私人金鑰,請點擊以下其中一個連結:
- http://25z5g623wpqpdwis.tor2web.org/9AE32B979DF42181
- http://25z5g623wpqpdwis.onion.to/9AE32B979DF42181
- http://25z5g623wpqpdwis.onion.cab/9AE32B979DF42181
如果以上位址都無法打開,請按照以下步驟操作:
- 下載並安裝洋蔥流覽器(Tor Browser): https://www.torproject.org/download/download-easy.html
- 安裝成功後,運行流覽器,等待初始化。
- 在位址欄輸入: 25z5g623wpqpdwis.onion/9AE32B979DF42181
- 按照網站上的說明進行操作。
!!! 您的個人識別ID: 9AE32B979DF42181 !!!
|*~+=+*+|
$-|.+_.-_
*~_=+_=$~+~_—$|.+
↑ 勒索病毒說明 (有中文喔)你的檔案已被加密了,要你作什麼事
我們使用工具觀查勒索病毒如何運作並加密檔案的
↑ 如圖示,病毒程式被下載了
↑ 如圖示,開始找檔案並加密它們
↑ 被加密後的檔案樣子
看到這裡,當我們知道勒索病毒的利害後,我們要怎麼預防檔案被加密
- 不要隨便打開來歷不明的信件、附檔。
- 隨時作好備份。
- 不過不要將備份檔放在同一台電腦裡,不然備了也沒用。
- 如果是用 USB 外接式硬碟也不要一直掛在電腦上,因為勒索病毒是掃會有掛載起來的磁碟槽。
或使用 異地備份服務
- 隨時更新電腦系統 (Windows update)。
- 隨時更新防毒軟體。
- 慣用 DNS 伺服器 設定 OpenDNS 使用,它可以自動辨識並封鎖惡意網站、自動糾正錯誤網址。
- 假如不小時點了附件,立即馬上把網路中斷 (或拔網路線),讓它不能下載主病毒程式。
- 安裝 Bitdefender 釋出對抗勒索軟體的免費工具
- 至於郵件問題,又或者你可以選擇 Office 365 郵件安全解決方案
作者:Cross Fang
圖片來源:The Preiser Project
