電腦中毒了，照片、文件都打不開。中勒索病毒~無解，只能重灌！

崴德電腦~電腦資訊技術專區 » 電腦綜合討論區 ~舉凡本店最新公告,電腦問題詢問處 » 電腦中毒了，照片、文件都打不開。中勒索病毒~無解，只能重灌！

無頭像

winner

管理員

積分 210
帖子 430
註冊 2007-1-14
用戶註冊天數 6306

發表於 2015-10-8 17:51
36.231.232.41

分享私人訊息

2017.5.12↑Wanna Decryptor

勒索軟體病毒全球肆虐99國,台灣也受害

WanaCrypt0r 2.0 修補方式 Windows XP、7、8、10 全系統整理.全球災情慘重不要鐵齒

未中毒的預防方法：也可直接安裝[Windows 7 SP1 Update Package]
１．避免瀏覽內容農場
黑客一般會透過向電腦用戶散播勒索病毒主要渠道就是內容農場(Content Frarm)，用戶最容易「中招」就是在瀏覽內容農場後發生，所以避免瀏覽內容農場是很重要。你可以在Chrome上安裝「封鎖內容農場」插件，有效防止用戶不小心打開內容農場文章及惡意廣告。插件的鏈結：按此

２．更新防毒軟件
微軟惡意軟件保護中心針對「Win32/WannaCrypt」同種勒索病毒已更新病毒定義檔案，另外有安裝防毒軟件用戶都會收到各大廠商提供的自動更新，如用戶設定為手動更新，便快快於防毒軟件使用更新或更改設定至「自動更新」

３．關閉 SMB 1.0/CIFS 檔案共用支援
請參閱：https://wmos.info/archives/15713
應該盡快安裝修正檔：
如果你的更新紀錄如下，則表示修正檔已經安裝，並且受到保護
Windows XP/Vista/8 用戶：KB4012598
Windows 7 用戶：KB4012215 或 KB4015549 或 KB4019264
Windows 8.1 用戶：KB4012216 或 KB4015550 或 KB4019215
Windows 7/8.1 用戶已安裝上述更新，只要三個有其中一個安裝成功即可。
KB4019264下載鏈結：
[Windows 7 64位元版]、[Windows 7 32位元版]
KB4019215下載鏈結：
[Windows 8.1 64位元版]、[Windows 8.1 32位元版]
以下是針對舊版本 Windows 推出的 KB4012598：
[Windows XP SP3]
[Windows 8 64位元版]、[Windows 8 32位元版]
[Windows Vista 64位元版]、[Windows Vista 32位元版]
[Windows Server 2008 64位元版]、[Windows Server 2008 32位元版]
[Windows Server 2003 64位元版]、[Windows Server 2003 32位元版]
[Windows WES09 與 POSReady 2009]

㊣下面這二個特殊工具，也是每一位電腦使用者要安裝的哦！

特殊工具一：比特幣勒索病毒免疫工具
下載：Download(knsatool)
(推薦使用，只需只要點選"一鍵免疫"就好，不用去安裝金山防毒軟體)
(一键免疫勒索病毒感染+安装系统補丁修复NSA“永恒之藍”漏洞)

特殊工具二：
關閉作業系統445連接埠port(適用Win7系統)
＊有用區域網路分享資料者，請不要關閉此設定。不然別人無法從區網連進你所分享的資料夾，包括自己分享的印表機也是。

下載：BLOCK.ZIP
操作方式如下：
下載檔案並解壓縮後，「BLOCK檔案」按右鍵「以系統管理員身分執行」，再選擇「1」
執行完成即可關閉連接埠(Win7以上版本適用)，電腦重開機即OK！

手動~關閉 445 連接埠
這次的綁架病毒主要是透過連接埠 445 的安全漏洞而來，如果你不安心的話也可以用以下方法直接關閉，先將電腦斷網，接著進入「控制台」—>「系統及安全性」—>「Windows 防火牆」—>執行「進階設定」：

接著執行「輸入規則」—>「新增規則」：

選擇「連接埠」—>「下一步」：

規則選擇套用到 TCP （等下UDP也要設），特定本機連接埠設定輸入『445』—>「下一步」：
執行「封鎖連線」—>「下一步」：

所有選項全勾：

最後指定一組名稱給它：

接著剛剛的步驟 UDP 也設一遍，連接埠一樣是輸入445：

都設定完之後在輸入規則終究會有剛剛設定的規則，如此應該就比較沒有問題了
如果您是公司行號的話，可以到分享器端直接將連接埠 445 封鎖起來，之後再將所有電腦慢慢更新即可：

關閉SMBv1服務、檢測是否中毒

最後在附上幾篇 PTT 高手們的作品，基本上小編是覺得安裝更新後即可了，但是如果你還是很擔心，想要直接關閉引起漏洞的SMBv1服務的話，請來此：https://www.ptt.cc/bbs/AntiVirus/M.1494621146.A.0AA.html

另外也有高手寫了一個偵測的腳本，檢查該勒索病毒是否潛伏在你的電腦中，可以點選這邊來觀看：https://www.ptt.cc/bbs/AntiVirus/M.1494633528.A.DFC.html

深刻痛過一次，才知道謹慎上網●備份資料的重要性！

勒索病毒之謠言：
1.系統一定要改Win10就不會中勒索病毒嗎?
答：Win10也會中勒索病毒的，只是Win7使用者比較多，所以災情也多。
2.系統用正版的(或破解的)Win7、Win8、Win10，是否也會中勒索病毒?
答：不管是正版的還是破解的，都同樣會中標的，品牌電腦不也是中一堆?
3.系統一定要定期更新漏洞才不會中勒勒病毒嗎?
答：就算更新，或是不更新，運氣不好的，還是會中標。使用觀念極強的人比較不會中。
所以就算你定期的更新到最新，會中勒索病毒的，還是會中啦！
4.付錢給對方，資料就一定能全部救回來嗎?
答：不一定，可能只能救出幾成的資料，甚至你也要會懂的怎麼用他們的程式去解資料。
5.網路上是否有程式可以解除被勒索的檔案?
答：有是有，但很多都是過時的，只能針對舊型的勒索病毒，甚至效果不好，浪費時間。
6.如果放棄資料，那要怎麼處理電腦?
答：找懂電腦的朋友或電腦公司，將硬碟整顆都格式化再分割磁區，再安裝系統即可。
不能只有重灌C槽，因為在其它槽區的檔案很快又會感染回系統C槽的。
7.要裝那一套防毒軟體才能不會中勒索病毒?
答：不管那一套都沒用，因為勒索病毒不是病毒，一開始都會很難被偵測到掃除掉，而且它們也會一直變種變新，防毒軟體那跟的上?
8.要怎麼防範勒索病毒?
答：不要用電腦...(搞笑的)

專家就教民眾5大招，降低遭勒索軟體病毒攻擊的機率。
1. 不要點擊電子郵件內的網站連結，如有需要，請直接在瀏覽器上鍵入想要的網址。
2. 不要隨便開啟電郵附件，除非你很清楚寄件來源以及檔案的來源與內容。
3. 不要花太多時間瀏覽惡名昭彰的網站，尤其是A片網站或者是盜版電影網站，瀏覽這些網站都很容易遭到病毒攻擊.
4.不要因為網站叫你下載軟體，你就輕易下載了。
5. 請多多備份你所需要的檔案或資料，或者使用雲端系統備份，萬一出事，還找得到你的重要資料。

※有在使用雲端軟體做備份的，請不要選擇"同步備份"，
不然中了勒索病毒，雲端的資料也是被感染，
最好是有要備份時，再開啟"同步備份"，或是去雲端網頁進行線上備份資料！
或是將資料定期備份在外接式硬碟！

2017.5本次病毒:論壇看小說..跳出一個提示視窗，上面顯示它電腦的 Adobe Flash 版本太舊，必須要更新...之後就...隔日檢查電腦檔案的時候才發現，所有檔案雖然副檔名都沒有變，但是應用程式都無法打開這些檔案，畫面僅顯示「我們無法開啟此檔案」，他才意識到電腦感染了勒索病毒。
常常接到客戶在詢問處理方式,被問到快暈了！無解，只能重灌

一次經驗一次教訓，別老是上網點一些有的沒的東西啦！
我很少中毒。不是我的防毒用多好，而是我會注意可疑檔案不要開，可疑網站不要去，可疑程式不要裝。但大部份的使用者才不管咧，然後就中毒了.GG

關於Crypt0L0cker +REcovER+hnxfh+ 們等...病毒，勒索軟體，你的所有檔案都被加密。目前無解，只能重灌！
這個加密軟體只要啟動執行，除了擁有密碼的人之外，是沒有人能解的，
因此受害者只有支付贖金或放棄資料兩種選擇。

不要打電話來問說要怎麼處理！(直接送修:重灌吧)

一、上網的時候要注意，不明的視窗不要亂點。

二、不要執行來路不明的郵件附檔或檔案。
三、重要的資料平常就要養成備份習慣，如果是非常重要的資料，你可能還需要備二份(買兩顆行動硬碟)，千萬不要等到電腦中毒了才再找解毒方法，或硬碟故障了才再找資料救援，說真的那很花錢，花的錢都夠你買好多顆行動硬碟了。

近期勒索病毒災難頻傳，許多駭客偽裝成廣告主，將製作的惡意廣告投放至各大網站或部落格，因此民眾就算瀏覽可信任來源的網站或在點閱Facebook上分享的文章，也可能遭惡意廣告攻擊進而感染勒索病毒！

https://youtu.be/FolJeBqox2o
勒索病毒就像網路版的綁架案，目前最流行的加密型勒索病毒，便是駭客利用勒索病毒感染使用者裝置，將其檔案以加密的方式『綁架』，並向使用者提出支付贖金要求（以比特幣計價，動輒上萬元台幣）；如不提供贖金則將這些檔案『撕票』，使用者將永遠無法開啟使用遭受加密的檔案資料；且近期所出現的新型勒索病毒，更會限制付款時間，隨著時間倒數，將刪除越多檔案，增加受害者心理負擔。
資訊安全軟體公司Check Point表示，知名勒索程式Locky已經出現在Facebook、LinkedIn等社群服務內，將造成使用者點按來路不明圖片連結導致電腦遭加密綁架，必須支付一定金額才能解除加密。

由於目前綁架軟體有越來越多變化，同時鎖定使用者心理打造更容易上當的陷阱，例如此次便是利用使用者習慣在Facebook等社群服務點按連結的情況，誘騙使用者點按偽裝成圖片的綁架程式。
而就Facebook隨後回應說法，表示此項問題主因發生在Chrome瀏覽器擴充元件漏洞，目前已經針對此項問題進行修復，同時完成安全通報。目前來看，若使用者並非使用Chrome瀏覽器，或是以Chromium架構設計的瀏覽器開啟Facebook，理論上就不會受到綁架。
除此之外，由於Facebook內呈現上傳圖片或圖片連結均以縮圖為主，因此使用者若發現僅以連結形式呈現的圖片檔案連結，若非認識友人傳送特定圖片檔案的話，或許就要格外注意是否為偽裝的綁架軟體。
目前綁架軟體已經開始有不少進化，同時過去印象僅對Windows作業系統有明顯影響的情況，現在也有明顯比例發生在Mac系列電腦，甚至就連手機也開始有不少綁架軟體攻擊趨勢，因此使用者對於網路惡意攻擊應該有更深層的警覺性。

中了勒索病毒可採取以下作法，保護裝置安全。
1.斷網：立即切斷網路，避免網路磁碟機或共享目錄上的檔案遭到加密。
2.斷源：拔掉電腦主機插頭，立即關閉電腦電源。關閉電源的目的是不讓勒索病毒繼續加密電腦中檔案，關機時間愈快被加密的檔案愈少。
3.不要付錢：避免助長勒索病毒攻擊風潮。
4.電腦主機立即送修，磁區重分割+格式化全部磁區，重灌作業系統。

『三要三不』

三要：1.定期備份重要檔案 2.使用安全評價較高的瀏覽器 3.養成良好上網習慣。

三不：1.只打開信任的郵件，不隨意打開未知來源信件的連結以及附件 2.不輕易點選來路不明的網址 3.只要在裝置連上網時，就不要亂上大陸不明影音網站。

東森新聞相關報導:

http://youtu.be/FolJeBqox2o
https://www.youtube.com/embed/FolJeBqox2o

轉貼電腦王阿達：據說6月3日起傳出大量災情。報導指出

這一版勒索病毒可能是cryptXXX的變種版本，

大概推敲出幾個共通性：

1.大部分有提到的都是IE的使用者。
2.有幾個案例是IE突然跳出更新，按下確認後就中獎了。
3.部分使用者有去去中國網站的習慣。
4.有使用者堅持自己沒有去中國網站，但是有閱讀國內新聞網站，可能是從Flash廣告的部分中獎。
5.病毒疑似有潛伏期，有使用者是看YouTube到一半中獎的。
6.目前此變種cryptXXX，卡巴斯基與趨勢科技先前推出的的解密軟體無法解密。
7.案例中有一例是無法上網的主機被加密，有網友推測病毒是從共享資料夾內入侵。
8.目前統計的案例來看，只要有寫入權限的資料夾都可能被加密。
9.專攻通用文件格式與圖片格式，特殊格式不在攻擊範圍內。

這個加密軟體只要啟動執行，除了擁有密碼的人之外，是沒有人能解的，
問題是，上述的密鑰在困擾的電腦裡無處可尋。相反，它存儲在犯罪分子的命令和控制服務器上
因此受害者只有支付贖金或放棄資料兩種選擇。

他不是病毒，這軟體跟市售的加密軟體技術相同，
只是您購買的加密軟體可以自己設定密碼，
而這個以釣魚方式引誘您執行的加密軟體密碼在勒索者手上。

我們嘗試以特徵碼的方式來阻止這種勒索的蔓延，
但是勒索者以快速更換軟體版本的手法突破各家防毒軟體的封鎖。

截至目前為止我們持續研究解決方案中。

呼籲電腦使用者要養成備份重要資料在別的離線儲存裝置的習慣。

最新的消息是有人付了錢也沒用

嚴格來說這不算病毒,他是勒索軟體，所有檔案都被加密，綁架你的檔案。

各家防毒軟體大多無法偵測。

勒索病毒曾經使用過的網路釣魚主旨或手法包含:
A) 退稅通知
B) 電子帳單/電子發票
C) Google Chrome 和 Facebook 重大更新和通知訊息
D) iPhone中獎通知
E)求職信/履歷表
F)電子訃聞
G)誘騙使用者連到看似真正銀行或政府機構網站的假網頁
H)輸入驗證碼（CAPTCHA，一種防止機器人的程序）
I)您的帳戶欠款已過期!都可能是中招的途徑

有別的團體看到 crypt0l0cker 好賺，
也模仿他的做法... 所以這種案例會越來越多

防毒軟體在這時候完全派不上用場...
只能靠用戶自己定時備份重要資料了

不要亂下載什麼「○○空間下載器」之類的程式
也不要到來路不明的網站看影片..
最近兩年，因為有利可圖而且獲得贖金的機率越來越高，類似 TorLocker, TorrentLocker, CryptoLocker 或 CryptoWall 等綁架軟體的東西越來越多，甚至還發展出專門針對知名遊戲的綁架軟體 TeslaCrypt

---------------------------------------------------------------------------------------------------------------------------------------------------------------
主要途徑除了透過「社交工程」或其他方式誘騙使用者執行看起來像一般帳單、有 .exe 副檔名的 Word 或 PDF 文件、色色的照片或影片的綁架軟體之外，還會透過各種方式亂槍打鳥以病毒或木馬等方式散布這些惡意程式，甚至還會透過區網傳染給辦公室裡的一堆電腦。
等你中標之後，會發現電腦的檔案、照片、文件、Word、Excel…通通都被鎖起來、無法開啟，如果要使用原本的檔案的話，則會跳出一個說明視窗要你付錢、解鎖。很多「有良心」的壞人在你付錢之後會給你檔案讓你順利解鎖、使用原本的檔案。有些收了錢就不管你了，繼續去毒害其他人，你就算恨死他、罵出所有髒話，還是救不回你的所有檔案。

一是乖乖付錢然後祈禱他是有良心的壞人（並鼓勵他繼續作惡）。
二是假裝自己沒活過、沒拍過照，整個把電腦格式化、全部心血全刪了，然後再重灌。

這麼悲觀？沒錯，因為就算能透過一些方法把 TorLocker, TorrentLocker 或 CryptoLocker 之類的勒索軟體給移除掉，但是大部份被加密的檔案還是很難解，就算找了密碼專家、超級電腦來一個檔一個檔暴力破解，恐怕付出的成本與時間精力會更高。

備份！備份！備份！一定要用外接硬碟備份！還是回到從前把資料燒成光碟..看你怎麼加密..
備份檔案這種事情不用講了，重要檔案一定要定期備份（重點在定期、常常備份），而且必須使用外接硬碟、USB隨身碟、記憶卡或燒成光碟等方式做備份....看起來很麻煩？對，是很麻煩，但是跟所有檔案都被綁架、加密比起來，你會慶幸還好有備份！

1.檔案加密勒索病毒 TorrentLocker 及 2015年4月出現的Crypt0L0cker，另外2015年9月還有更新的進化版出現~以上勒索病毒至今日仍無復原被加密檔案的方法出現。
2.目前此病毒感染之檔案無法救回，請大家要定期備份個人重要資料，並將備份保存於安全地點。
3.不要開啟不熟悉的網頁或是不明電子郵件附件或連結，瀏覽網頁時顯現的彈出式視窗不要點選安裝，也不要安裝非公務使用或是網路流傳之破解軟體，避免感染病毒。
4.感染途徑確認為下載檔案感染，會在瀏覽被改竄的惡意網站、或開啟郵件、甚至點選彈跳視窗時強制安裝病毒。

這加密病毒來源多半是藏在網頁廣告、假網站、非法郵件、隨身碟等，所以小編建議在網路上請小心：

盡量不要瀏覽未知網站或連結。
開電子郵件附件時小心是不是偽裝檔名的 exe 執行檔。
請勿使用「○○空間下載器」或迅雷 P2P 之類的下載工具程式。
請勿使用來源不明的隨身碟。
除了上述Windows 更新外，也請定期檢查防毒軟體是否正常更新。
請不要再繼續使用 Windows XP 系統，快快升級Ｗindows 7 以上版本。
最重要的，就是請記得定期備份重要資料和郵件，因為被加密後要救也都救不回來，只有刪除一途了！
最新變種版本Cerber 勒索病毒:系統會撥放一段語音，其內容為 “Attention! Attention! Attention!Your documents, photos, databases and other important files havebeen encrypted!”。而這段語音的意思是，「注意！注意！注意！你的文件、照片、資料庫和其他重要檔案都已經被加密！」
此時檢查所有資料夾內文件，其檔案名稱都被更換為副檔名是 cerber 的加密文字。
在勒贖頁面中使用者必須支付 320 美元的贖金來購買 cerberdecryptor，並且以比特幣作為唯一支付方式，防止被追查到金錢流向。一旦超過 5 天付款期限，贖金將會提高至 2 倍金額 640 美元。
病毒也可能會持續進化變形，建議使用者還是要定期備份重要資料避免無法挽回。建議使用者將系統重新安裝，避免病毒遺留的影響往後可能再次發生。
預防方法：
1.作業系統升級windows 7以上。
2.更新下列程式至最新版本：Java、Adobe Reader、Adobe Flash Player。
3.定期備份重要資料，以降低傷害程度；備份資料宜以光碟、隨身硬碟方式備份，備份完畢後務必將儲存媒體另外收納，勿與電腦連接。
4.勿開啟不明電子郵件，尤其非公務相關之信件，更勿使用公務電腦瀏覽不明網站，特別是大陸網站。
5.察覺電腦有非常明顯速度變慢時，請第一時間拔除或關閉自己電腦的網路，避免病毒透過網路擴散。
6.少去下載來路不明的檔案軟體、逛奇奇怪怪的網頁、也沒人說,到底是怎麼感染到的。
7.以上不保證100%有效,目前網路發表號稱可解密方是大多為唬爛文,大可不必浪費時間去試驗。
良心的建議:不用再爬文了!無解!無解!無解!~直接重灌
※會被Crypt0l0cker加密的檔案格式如下*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

檢查是否有感染：
這病毒有潛伏期，不會馬上就讓你發現你的檔案被綁票了，可以先用搜尋軟體，查一下有沒有以下檔案：(中獎者電腦可能會含有的檔案)

•HELP_TO_SAVE_FILES.txt
•HELP_RESTORE_FILES.txt
•DECRYPT_INSTRUCTIONS
•RECOVERY_FILE.txt
•.encrypted (在原本檔案後加入.encrypted的副檔名)
•.ezz
•.ecc
•.ccc (最新)

檢舉論壇