近日全球超過100個國家都傳出遭「勒索病毒」軟體攻擊,這款名叫WannaCry的病毒軟體會對個人電腦裡的檔案強制加密,逼迫受害者購買虛擬貨幣「比特幣」來交換解密程式。
勒索病毒的原理是什麼?一般人又該如何預防受害呢?
網友敏江在台灣各大資訊論壇分享勒索病毒的介紹,也整理各路強者的補充說明,讓更多網友了解資訊安全的重要性!【本文獲作者授權,未經同意請勿轉載】
Q1.「勒索病毒」是什麼?
A:勒索病毒不同於一般病毒,它是使用系統允許的方式進行檔案加密,讓使用者若沒有該密碼便無法開啟檔案。
接著,軟體會對無法開啟檔案的使用者進行勒索,目前的勒索多要求以虛擬貨幣「比特幣」(bitcoin)來付贖金,在受害者付完贖金之後再給予「一次性」的解密程式,讓受害者得以將檔案復原。
但另一方面,也不是沒有被撕票的可能,因此,付完贖金之後只是「有機會」救回檔案資料。
Q2.防毒軟體可以擋下「勒索病毒」嗎?
A:雖然有些防毒軟體主打預防「勒索病毒」,但至今為止,仍未有任何一家防毒軟體可以100%預防,頂多能降低風險。
有些人會推薦同時使用兩款防毒軟體,但依據尤金卡巴斯基的說明,安裝兩款防毒軟體技術上是不可行的。不過,可安裝一個「防毒軟體」(AntiVirus)和一個「防惡意軟體」(AntiMalware)的程式。(註1)
Q3.只要不去奇怪的網頁、不亂下載就不會有問題了嗎?
A:非也,勒索病毒通常會透過flash的漏洞讓使用者中毒,或是冒充成常見軟體等方式來讓使用者同意它們做亂。前陣子也有出現過「主動攻擊」win7系統的漏洞,使win7使用者中鏢。
以上幾種除了自己同意病毒做亂以外,不管是透過flash使電腦中鏢,或是主動攻擊win7漏洞,都是在加密完成前很難以察覺的。
之前Yahoo也有出現過廣告被夾帶勒索病毒而使大量電腦中獎的例子。
另外,「遠端功能」也有機會中鏢,如CRYSIS可暴力破解遠端連線的密碼。(註2)
歷代Windows作業系統(取自網路)
Q4.那要如何預防「勒索病毒」?
A:先簡單列出幾個要特別留意的點,詳細則會在本條最後說明。
1. 不要亂點連結、不要在官網以外的地方「更新」任何東西。
2. 升級至Win10,並將系統更新至最新。
3. 移除flash,並將Google Chrome瀏覽器升級為新版。
4. 安裝Adblock等擋廣告的插件。
5. 安裝具有防堵勒索病毒的防毒軟體。
6. 雖然說不上預防,但可以使用他人所製作的腳本來減低中鏢時的損失。詳情請參考:綁架病毒對策:簡易監控小腳本/PTT。另推薦Cybereason Ransom Free,與上述的腳本類似,偵測到加密行為時會跳框並阻止(註3)
7. 雖然不是預防勒索病毒本身,但為維護資料安全,請至少以三種不同的形式進行備份,並且至少有一種異地備份(如雲端)。
8. 另外,為確保加密早期(檔案還未加密完畢時)可及早發現,盡量避免長時間掛網。
9. 進行「權限控管」,讓「一般使用者」的權限降低,防止勒索軟體寫入系統檔。(註4)
10. 關閉內建遠端。
-
詳細說明:
第一點,很多對電腦資安不熟的人很容易犯這種錯誤,像是這次中毒者很多都是點選了在伊莉論壇出現的假flash更新,該flash裡面除了真正的flash以外,還夾帶了木馬程式。
當勒索病毒藉由木馬程式進入受害者的電腦中之後,便開始進行加密及勒索的動作,但因為是受害者自行放任病毒在自己的電腦裡做亂,即便是win10也是會中鏢的。
目前win10中鏢案例皆為此情形。
所以若需要對程式或系統進行升級,請至官網最為保險,千萬不要因為視窗跳出來就點選下載或安裝。
第二點,前陣子曾有一波專門「主動攻擊」win7系統的漏洞,並使win7使用者中勒索病毒。
第二點,前陣子曾有一波專門「主動攻擊」win7系統的漏洞,並使win7使用者中勒索病毒。
微軟已在3/14釋出系統更新檔,微軟一直有針對此部分進行安全性更新,可以的話還是開著自動更新吧!(註5)
win10相較於win8、win7,系統漏洞較少,因此就目前為止較能防範「主動攻擊型」的勒索病毒,且從win8、win10的flash更新是與系統更新一起的,所以只要自己跳出來說要更新的,基本上應該都是病毒,較容易辨認。
但win10本身不防使用者自己讓病毒在電腦裡惡搞。
因此除了系統防範以外,使用者習慣才是最重要的。
另外,微軟也多次針對防堵勒索病毒而提供更新檔,因此建議使用者也要將電腦更新至最新版。
第三點:建議移除flash,現在看youtube也已經不是使用flash而是html5,所以使用到flash的機會就少很多了。
再加上移除的話,可以避免因為flash漏洞而中鏢。
若不方便移除的話,請更新flash至最新,也請將chrome或火狐(Firefox)更新至新版,新版chrome需經由使用者同意才得以在該網頁啟用flash,以避免遇到夾帶病毒的flash檔。
第四點:在瀏覽器上安裝阻擋廣告的插件,可預防放在廣告中的病毒。
但據pcdvd網友「野口隆史」表示,「擋廣告套件原理只是把你不要的網頁元素隱藏,實際上都已經經過瀏覽器解析了」,所以效用不大。
因此「建議用支援http scan的防毒軟體會比較適合」(註6)
第五點:使用防毒軟雖無法達到完全防堵,但起碼多一個保障。有些人推薦同時使用兩種防毒軟體,但不建議且不可行。
可以安裝一款「防毒軟體」(AntiVirus)和一個「防惡意軟體」(AntiMalware)的程式。
第六點:改腳本是為了萬一的時候,可以降低損失,不過似乎已經有「可以偵測出哪些是常用檔案而優先進行加密」的勒索病毒了,但基本上也算是做個保險,反正不會太吃電腦資源。
第七點:所謂的備份是不可以跟電腦檔案同步的,且即便是透過外接硬碟或隨身碟等進行備份,也不可以長時間與電腦連接。
不然萬一勒索病毒開始加密,便會將那些所謂的「備份」給一起加密,那備份就沒有意義了。
因此除了傳輸檔案之外,請注意權限,以及不要將硬碟/隨身碟一直插在電腦上。
補充一下,若要使用與本機同步的網路硬碟的話,建議使用有版本還原功能的,像是一般人常用的dropbox及google雲端皆有網路還原功能,只是目前dropbox與google雲端若要還原檔案需一個個去點及還原,稍微有點麻煩,可考慮使用Crashplan等有「還原至特定時間點」功能的NAS。(註7)
第八點:若加密時人在電腦前面的話,較可以儘早發現異常,例如,硬碟無緣無故開始大量讀取、有些電腦檔案變得無法開啟等狀況,此時可以立即進行斷網、強制關機、斷電等處理,以避免資料損失擴大。
第九點:對於硬碟內資料的存取及修改皆需要一定的權限,將權限降低可以防止勒索軟體寫入。(註8)
第十點:我的電腦/本機>遠端設定>將「允許到這部電腦的遠端協助連線」的勾勾給取消。鑒於最近很多人疑似因為遠端開起的關係,被植入會引來勒索病毒的東西,因此建議把內建的遠端連線功能的勾選取消。
Q5.我下載並安裝了伊莉的Flash假檔,該怎麼辦?
A:請參考這兩篇文章:有安裝伊莉假FLASH的參考下吧、Re:[請益] 最近少去伊莉/PTT
Q6.我中鏢了,而病毒已經開始加密了怎麼辦?
A:立即切斷網路並立即強制關機,以免災情擴大,並將電腦交由專業的人來處理,千萬不要啟動防毒軟體硬碰硬,以免原本能救回的檔案都無法救回來了。
請注意,「斷網」此一動作僅適用於早期剛開始加密、而與本機同步的網路硬碟尚未將更新檔上傳完畢的時候,為保護放在網路硬碟上的檔案遭加密,因此需要立即斷網,亦可立即強制關機後立即將電腦電源拔除,使該電腦本身與網路隔絕。
請注意,「斷網」此一動作僅適用於早期剛開始加密、而與本機同步的網路硬碟尚未將更新檔上傳完畢的時候,為保護放在網路硬碟上的檔案遭加密,因此需要立即斷網,亦可立即強制關機後立即將電腦電源拔除,使該電腦本身與網路隔絕。
但若已加密完畢或已全數上傳、更新完畢的話,則不適用。(註9)
Q7.我中鏢了,且檔案已全數被加密完成了......
A:
1.不要以防毒軟體硬碰硬,以免檔案即便解密也無法再開啟,且也有可能因此無法開啟付贖金的勒索視窗或下載解密程式。
2.嘗試目前部分防毒軟體公司所釋出的解密工具。例如趨勢等公司所釋出的解密程式已可解密部分類型,或是也有些外國人自己研究出來的解密方式可以嘗試。
3.解密失敗的話,請將硬碟留下,可以的話直接拆下保存,不行的話,請找顆硬碟對拷。
目前很多無論是破解得來或是付贖金得來的解密程式需檔案在原處才可復原,因此不建議搬移,故在這邊建議對拷或直接將該硬碟封存。
雖然有些人可能會付贖金讓檔案還原,但為了不助長此風,因此若自己已有備份的話,請還是不要付贖金來了事,除非檔案真的很重要且沒備份到再考慮,畢竟也要把被撕票的可能性一起思考清楚。
雖然有些人可能會付贖金讓檔案還原,但為了不助長此風,因此若自己已有備份的話,請還是不要付贖金來了事,除非檔案真的很重要且沒備份到再考慮,畢竟也要把被撕票的可能性一起思考清楚。
沒有留言:
張貼留言