你無法再忽視 勒索病毒 的嚴重性了

最近想必你我都常收到一封奇怪的信,主旨是 Order、Payment、Statemet、或有 # 符號的信,更奇特的是信件是由自己寄給自己,或是同事寄給你的,更可能讓你可以放下誡心的是附檔的檔案包含了自己的名字。

Ransomware-1

↑ 病毒信件

這類的信件就是傳說已久的勒索病毒,它會把你電腦中的檔案加密,如果沒有解密的金鑰,你的檔案就救不回來了,再也打開不了。

所以你能認為你能輕易的逃過這樣子的攻擊、惡意的行為嗎?

接著跟大家說明這隻病毒的運作狀況,信件的附檔內容是包含著一支 js 檔,當它被點開執行了之後,會默默的在背景裡執行,下載主要的加密程式,開始尋找電腦裡面的檔案作加密。

ransomware-2

↑ 附件內容物

而可能會被加密的檔案有這些

db

docx

jpg

js

mp3

png

pst

rar

txt

wmv

xml

zip

↑ 這是我測試時,電腦裡僅存的檔案,不代表只有這些

當這些檔案被找出來後,勒索病毒會將它們一一的加密,最後會好心的跟你說,你的檔案都被加密了喔,要解開就到某個網站付完錢,才可拿到金鑰來解開被加密的檔案。

=|=~|_=+**_+

***._+..

=$|=*~-=*~*$$*__

!!!重要資訊 !!!!

 

您的所有檔已被RSA-2048 和AES-128暗碼進行了加密。

欲獲取更多關於RSA的資訊,請參閱:

http://zh.wikipedia.org/wiki/RSA加密演算法

http://zh.wikipedia.org/wiki/高级加密标准

 

只有我們的機密伺服器上的私人金鑰和解密程式才能解密您的檔。

如要接收您的私人金鑰,請點擊以下其中一個連結:

  1. http://25z5g623wpqpdwis.tor2web.org/9AE32B979DF42181
  2. http://25z5g623wpqpdwis.onion.to/9AE32B979DF42181
  3. http://25z5g623wpqpdwis.onion.cab/9AE32B979DF42181

 

如果以上位址都無法打開,請按照以下步驟操作:

  1. 下載並安裝洋蔥流覽器(Tor Browser): https://www.torproject.org/download/download-easy.html
  2. 安裝成功後,運行流覽器,等待初始化。
  3. 在位址欄輸入: 25z5g623wpqpdwis.onion/9AE32B979DF42181
  4. 按照網站上的說明進行操作。

 

!!! 您的個人識別ID: 9AE32B979DF42181 !!!

|*~+=+*+|

$-|.+_.-_

*~_=+_=$~+~_—$|.+

↑ 勒索病毒說明 (有中文喔)你的檔案已被加密了,要你作什麼事

 

我們使用工具觀查勒索病毒如何運作並加密檔案的

ransoware-3

↑ 如圖示,病毒程式被下載了

ransomware-4

↑ 如圖示,開始找檔案並加密它們

ransoware-5

↑ 被加密後的檔案樣子

 

看到這裡,當我們知道勒索病毒的利害後,我們要怎麼預防檔案被加密

  1. 不要隨便打開來歷不明的信件、附檔。
  2. 隨時作好備份。
  • 不過不要將備份檔放在同一台電腦裡,不然備了也沒用。
  • 如果是用 USB 外接式硬碟也不要一直掛在電腦上,因為勒索病毒是掃會有掛載起來的磁碟槽。

或使用 異地備份服務

  1. 隨時更新電腦系統 (Windows update)。
  2. 隨時更新防毒軟體。
  3. 慣用 DNS 伺服器 設定 OpenDNS 使用,它可以自動辨識並封鎖惡意網站、自動糾正錯誤網址。
  4. 假如不小時點了附件,立即馬上把網路中斷 (或拔網路線),讓它不能下載主病毒程式。
  5. 安裝 Bitdefender 釋出對抗勒索軟體的免費工具
  6. 至於郵件問題,又或者你可以選擇  Office 365 郵件安全解決方案

 

作者:Cross Fang

圖片來源:The Preiser Project

發表迴響