[FREEBBS公告] 站長有問題請按此

 
標題: 電腦中毒了,照片、文件都打不開。中勒索病毒~無解,只能重灌!
  本主題由 winner 於 2017-10-16 14:30 設置高亮 
無頭像
winner
管理員
Rank: 9Rank: 9Rank: 9

積分 210
帖子 389
註冊 2007-1-14
用戶註冊天數 3961
發表於 2015-10-8 17:51 
分享   短消息  頂部



2017.5.12↑Wanna Decryptor

勒索軟體病毒全球肆虐99國,台灣也受害

WanaCrypt0r 2.0 修補 方式 Windows XP、7、8、10 全系統整理.全球災情慘重不要鐵齒

未中毒的預防方法也可直接安裝[Windows 7 SP1 Update Package]
1.避免瀏覽內容農場
黑客一般會透過向電腦用戶散播勒索病毒主要渠道就是內容農場(Content Frarm),用戶最容易「中招」就是在瀏覽內容農場後發生,所以避免瀏覽內容農場是很重要。你可以在Chrome上安裝「封鎖內容農場」插件,有效防止用戶不小心打開內容農場文章及惡意廣告。插件的鏈結:
按此

2.更新防毒軟件
微軟惡意軟件保護中心針對「Win32/WannaCrypt」同種勒索病毒已更新病毒定義檔案,另外有安裝防毒軟件用戶都會收到各大廠商提供的自動更新,如用戶設定為手動更新,便快快於防毒軟件使用更新或更改設定至「自動更新」

3.關閉 SMB 1.0/CIFS 檔案共用支援

請參閱:https://wmos.info/archives/15713
應該盡快安裝修正檔
如果你的更新紀錄如下,則表示修正檔已經安裝,並且受到保護
Windows XP/Vista/8 用戶:KB4012598
Windows 7 用戶:KB4012215 或 KB4015549 或 KB4019264
Windows 8.1 用戶:KB4012216 或 KB4015550 或 KB4019215
Windows 7/8.1 用戶已安裝上述更新,只要三個有其中一個安裝成功即可。
KB4019264下載鏈結:
[Windows 7 64位元版]、[Windows 7 32位元版]
KB4019215下載鏈結:
[Windows 8.1 64位元版]、[Windows 8.1 32位元版]
以下是針對舊版本 Windows 推出的 KB4012598
[Windows XP SP3]
[Windows 8 64位元版]、[Windows 8 32位元版]
[Windows Vista 64位元版]、[Windows Vista 32位元版]
[Windows Server 2008 64位元版]、[Windows Server 2008 32位元版]
[Windows Server 2003 64位元版]、[Windows Server 2003 32位元版]
[Windows WES09 與 POSReady 2009]

㊣下面這二個特殊工具,也是每一位電腦使用者要安裝的哦!


特殊工具一比特幣勒索病毒免疫工具
下載:Download(knsatool)
(推薦使用,只需只要點選"一鍵免疫"就好,不用去安裝金山防毒軟體)
(一键免疫勒索病毒感染+安装系统補丁修复NSA“永琱岑禳那|洞)

特殊工具二:
關閉作業系統445連接埠port(適用Win7系統)

*有用區域網路分享資料者,請不要關閉此設定。不然別人無法從區網連進你所分享的資料夾,包括自己分享的印表機也是。

下載:BLOCK.ZIP
操作方式如下:
下載檔案並解壓縮後,「BLOCK檔案」按右鍵「以系統管理員身分執行」,再選擇「1」
執行完成即可關閉連接埠(Win7以上版本適用),電腦重開機即OK!


手動~關閉 445 連接埠
這次的綁架病毒主要是透過連接埠 445 的安全漏洞而來,如果你不安心的話也可以用以下方法直接關閉,先將電腦斷網,接著進入「控制台」—>「系統及安全性」—>「Windows 防火牆」—>執行「進階設定」:
接著執行「輸入規則」—>「新增規則」:

選擇「連接埠」—>「下一步」:

規則選擇套用到 TCP (等下UDP也要設),特定本機連接埠設定輸入『445』—>「下一步」:
執行「封鎖連線」—>「下一步」:

所有選項全勾:

最後指定一組名稱給它:

接著剛剛的步驟 UDP 也設一遍,連接埠一樣是輸入445

都設定完之後在輸入規則終究會有剛剛設定的規則,如此應該就比較沒有問題了
如果您是公司行號的話,可以到分享器端直接將連接埠 445 封鎖起來,之後再將所有電腦慢慢更新即可:



關閉SMBv1服務、檢測是否中毒

最後在附上幾篇 PTT 高手們的作品,基本上小編是覺得安裝更新後即可了,但是如果你還是很擔心,想要直接關閉引起漏洞的SMBv1服務的話,請來此:https://www.ptt.cc/bbs/AntiVirus/M.1494621146.A.0AA.html

另外也有高手寫了一個偵測的腳本,檢查該勒索病毒是否潛伏在你的電腦中,可以點選這邊來觀看:https://www.ptt.cc/bbs/AntiVirus/M.1494633528.A.DFC.html





深刻痛過一次,才知道謹慎上網●備份資料的重要性!

勒索病毒之謠言:
1.系統一定要改Win10就不會中勒索病毒嗎?
答:Win10也會中勒索病毒的,只是Win7使用者比較多,所以災情也多。
2.系統用正版的(或破解的)Win7、Win8、Win10,是否也會中勒索病毒?
答:不管是正版的還是破解的,都同樣會中標的,品牌電腦不也是中一堆?
3.系統一定要定期更新漏洞才不會中勒勒病毒嗎?
答:就算更新,或是不更新,運氣不好的,還是會中標。使用觀念極強的人比較不會中。
所以就算你定期的更新到最新,會中勒索病毒的,還是會中啦!
4.付錢給對方,資料就一定能全部救回來嗎?
答:不一定,可能只能救出幾成的資料,甚至你也要會懂的怎麼用他們的程式去解資料。
5.網路上是否有程式可以解除被勒索的檔案?
答:有是有,但很多都是過時的,只能針對舊型的勒索病毒,甚至效果不好,浪費時間。
6.如果放棄資料,那要怎麼處理電腦?
答:找懂電腦的朋友或電腦公司,將硬碟整顆都格式化再分割磁區,再安裝系統即可。
不能只有重灌C槽,因為在其它槽區的檔案很快又會感染回系統C槽的。
7.要裝那一套防毒軟體才能不會中勒索病毒?
答:不管那一套都沒用,因為勒索病毒不是病毒,一開始都會很難被偵測到掃除掉,而且它們也會一直變種變新,防毒軟體那跟的上?
8.要怎麼防範勒索病毒?
答:不要用電腦...(搞笑的)

專家就教民眾5大招,降低遭勒索軟體病毒攻擊的機率。

1. 不要點擊電子郵件內的網站連結,如有需要,請直接在瀏覽器上鍵入想要的網址。
2. 不要隨便開啟電郵附件,除非你很清楚寄件來源以及檔案的來源與內容。

3. 不要花太多時間瀏覽惡名昭彰的網站,尤其是A片網站或者是盜版電影網站,瀏覽這些網站都很容易遭到病毒攻擊.
4.不要因為網站叫你下載軟體,你就輕易下載了。
5. 請多多備份你所需要的檔案或資料,或者使用雲端系統備份,萬一出事,還找得到你的重要資料。


※有在使用雲端軟體做備份的,請不要選擇"同步備份",
不然中了勒索病毒,雲端的資料也是被感染,
最好是有要備份時,再開啟"同步備份",或是去雲端網頁進行線上備份資料!
或是將資料定期備份在外接式硬碟!


2017.5本次病毒:論壇看小說..跳出一個提示視窗,上面顯示它電腦的 Adobe Flash 版本太舊,必須要更新...之後就...隔日檢查電腦檔案的時候才發現,所有檔案雖然副檔名都沒有變,但是應用程式都無法打開這些檔案,畫面僅顯示「我們無法開啟此檔案」,他才意識到電腦感染了勒索病毒。
常常接到客戶在詢問處理方式,被問到快暈了
無解只能重灌

一次經驗一次教訓,別老是上網點一些有的沒的東西啦!
我很少中毒。 不是我的防毒用多好,而是我會注意可疑檔案不要開可疑網站不要去可疑程式不要裝大部份的使用者才不管咧,然後就中毒了.GG

關於Crypt0L0cker   +REcovER+hnxfh+  們等...病毒勒索軟體,你的所有檔案都被加密目前無解,只能重灌
這個加密軟體只要啟動執行,除了擁有密碼的人之外,是沒有人能解的,
因此受害者只有支付贖金放棄資料兩種選擇。

不要打電話來問說要怎麼處理(直接送修:重灌吧)


一、上網的時候要注意,不明的視窗不要亂點。

二、不要執行來路不明的郵件附檔或檔案。
三、重要的資料平常就要養成備份習慣,如果是非常重要的資料,你可能還需要備二份(買兩顆行動硬碟),千萬不要等到電腦中毒了才再找解毒方法,或硬碟故障了才再找資料救援,說真的那很花錢,花的錢都夠你買好多顆行動硬碟了。


近期勒索病毒災難頻傳,許多駭客偽裝成廣告主,將製作的惡意廣告投放至各大網站或部落格,因此民眾就算瀏覽可信任來源的網站或在點閱Facebook上分享的文章,也可能遭惡意廣告攻擊進而感染勒索病毒!


https://youtu.be/FolJeBqox2o
勒索病毒就像網路版的綁架案,目前最流行的加密型勒索病毒,便是駭客利用勒索病毒感染使用者裝置,將其檔案以加密的方式『綁架』,並向使用者提出支付贖金要求(以比特幣計價,動輒上萬元台幣);如不提供贖金則將這些檔案『撕票』,使用者將永遠無法開啟使用遭受加密的檔案資料;且近期所出現的新型勒索病毒,更會限制付款時間,隨著時間倒數,將刪除越多檔案,增加受害者心理負擔。

資訊安全軟體公司Check Point表示,知名勒索程式Locky已經出現在Facebook、LinkedIn等社群服務內,將造成使用者點按來路不明圖片連結導致電腦遭加密綁架,必須支付一定金額才能解除加密。

由於目前綁架軟體有越來越多變化,同時鎖定使用者心理打造更容易上當的陷阱,例如此次便是利用使用者習慣在Facebook等社群服務點按連結的情況,誘騙使用者點按偽裝成圖片的綁架程式。
而就Facebook隨後回應說法,表示此項問題主因發生在Chrome瀏覽器擴充元件漏洞,目前已經針對此項問題進行修復,同時完成安全通報。目前來看,若使用者並非使用Chrome瀏覽器,或是以Chromium架構設計的瀏覽器開啟Facebook,理論上就不會受到綁架。
除此之外,由於Facebook內呈現上傳圖片或圖片連結均以縮圖為主,因此使用者若發現僅以連結形式呈現的圖片檔案連結,若非認識友人傳送特定圖片檔案的話,或許就要格外注意是否為偽裝的綁架軟體。
目前綁架軟體已經開始有不少進化,同時過去印象僅對Windows作業系統有明顯影響的情況,現在也有明顯比例發生在Mac系列電腦,甚至就連手機也開始有不少綁架軟體攻擊趨勢,因此使用者對於網路惡意攻擊應該有更深層的警覺性。

中了勒索病毒可採取以下作法,保護裝置安全。
1.斷網:立即切斷網路,避免網路磁碟機或共享目錄上的檔案遭到加密。
2.斷源:拔掉電腦主機插頭,立即關閉電腦電源。關閉電源的目的是不讓勒索病毒繼續加密電腦中檔案,關機時間愈快被加密的檔案愈少。
3.不要付錢:避免助長勒索病毒攻擊風潮。
4.電腦主機立即送修,磁區重分割+格式化全部磁區,重灌作業系統。


三要三不


三要:1.定期備份重要檔案  2.使用安全評價較高的瀏覽器  3.養成良好上網習慣。

三不
1.只打開信任的郵件,不隨意打開未知來源信件的連結以及附件  2.不輕易點選來路不明的網址 3.只要在裝置連上網時,就不要亂上大陸不明影音網站。


東森新聞相關報導:


http://youtu.be/FolJeBqox2o
https://www.youtube.com/embed/FolJeBqox2o

轉貼電腦王阿達:據說6月3日起傳出大量災情。報導指出

這一版勒索病毒可能是cryptXXX的變種版本,

大概推敲出幾個共通性:

1.大部分有提到的都是IE的使用者。
2.有幾個案例是IE突然跳出更新,按下確認後就中獎了。
3.部分使用者有去去中國網站的習慣。
4.有使用者堅持自己沒有去中國網站,但是有閱讀國內新聞網站,可能是從Flash廣告的部分中獎。
5.病毒疑似有潛伏期,有使用者是看YouTube到一半中獎的。
6.目前此變種cryptXXX,卡巴斯基與趨勢科技先前推出的的解密軟體無法解密。
7.案例中有一例是無法上網的主機被加密,有網友推測病毒是從共享資料夾內入侵。
8.目前統計的案例來看,只要有寫入權限的資料夾都可能被加密。
9.專攻通用文件格式與圖片格式,特殊格式不在攻擊範圍內。




這個加密軟體只要啟動執行,除了擁有密碼的人之外,是沒有人能解的,
問題是,上述的密鑰在困擾的電腦裡無處可尋。相反,它存儲在犯罪分子的命令和控制服務器上
因此受害者只有支付贖金放棄資料兩種選擇。




不是病毒,這軟體跟市售的加密軟體技術相同

只是您購買的加密軟體可以自己設定密碼,
而這個以釣魚方式引誘您執行的加密軟體密碼在勒索者手上

我們嘗試以特徵碼的方式來阻止這種勒索的蔓延,

但是勒索者以快速更換軟體版本的手法突破各家防毒軟體的封鎖。

截至目前為止我們持續研究解決方案中。


呼籲電腦使用者要養成備份重要資料在別的離線儲存裝置的習慣。

最新的消息是  有人付了錢也沒用

嚴格來說這不算病毒,他是
勒索軟體,所有檔案都被加密綁架你的檔案


各家防毒軟體大多無法偵測。   

勒索病毒曾經使用過的網路釣魚主旨或手法包含:
A) 退稅通知
B) 電子帳單/電子發票
C) Google Chrome 和 Facebook 重大更新和通知訊息
D) iPhone中獎通知
E)求職信/履歷表
F)電子訃聞
G)誘騙使用者連到看似真正銀行或政府機構網站的假網頁
H)輸入驗證碼(CAPTCHA,一種防止機器人的程序)
I)您的帳戶欠款已過期!
都可能是中招的途徑

有別的團體看到 crypt0l0cker 好賺

也模仿他的做法... 所以這種案例會越來越多

防毒軟體在這時候完全派不上用場...

只能靠用戶自己定時備份重要資料了
  • 不要亂下載什麼「○○空間下載器」之類的程式
  • 也不要到來路不明的網站看影片..
  • 最近兩年,因為有利可圖而且獲得贖金的機率越來越高,類似 TorLocker, TorrentLocker, CryptoLocker 或 CryptoWall 等綁架軟體的東西越來越多,甚至還發展出專門針對知名遊戲的綁架軟體 TeslaCrypt


  • ---------------------------------------------------------------------------------------------------------------------------------------------------------------
    主要途徑除了透過「社交工程」或其他方式誘騙使用者執行看起來像一般帳單、有 .exe 副檔名的 Word 或 PDF 文件、色色的照片或影片的綁架軟體之外,還會透過各種方式亂槍打鳥以病毒或木馬等方式散布這些惡意程式,甚至還會透過區網傳染給辦公室裡的一堆電腦。
    等你中標之後,會發現電腦的檔案、照片、文件、Word、Excel…通通都被鎖起來、無法開啟,如果要使用原本的檔案的話,則會跳出一個說明視窗要你付錢、解鎖。很多「有良心」的壞人在你付錢之後會給你檔案讓你順利解鎖、使用原本的檔案。有些收了錢就不管你了,繼續去毒害其他人,你就算恨死他、罵出所有髒話,還是救不回你的所有檔案。


    一是乖乖付錢然後祈禱他是有良心的壞人(並鼓勵他繼續作惡)。
    二是假裝自己沒活過、沒拍過照,整個把電腦格式化、全部心血全刪了,然後再重灌。

    這麼悲觀?沒錯,因為就算能透過一些方法把 TorLocker, TorrentLocker 或 CryptoLocker 之類的勒索軟體給移除掉,但是大部份被加密的檔案還是很難解,就算找了密碼專家、超級電腦來一個檔一個檔暴力破解,恐怕付出的成本與時間精力會更高。

    備份!備份!備份!一定要用外接硬碟備份!還是回到從前把資料燒成光碟..看你怎麼加密..
    備份檔案這種事情不用講了,重要檔案一定要定期備份(重點在定期、常常備份),而且必須使用外接硬碟、USB隨身碟、記憶卡或燒成光碟等方式做備份....看起來很麻煩?對,是很麻煩,但是跟所有檔案都被綁架、加密比起來,你會慶幸還好有備份!

    1.檔案加密勒索病毒 TorrentLocker 2015年4月出現的Crypt0L0cker,另外2015年9月還有更新的進化版出現~以上勒索病毒至今日仍無復原被加密檔案的方法出現。
    2.目前此病毒感染之檔案無法救回,請大家要定期備份個人重要資料,並將備份保存於安全地點
    3.不要開啟不熟悉的網頁或是不明電子郵件附件或連結,瀏覽網頁時顯現的彈出式視窗不要點選安裝,也不要安裝非公務使用或是網路流傳之破解軟體,避免感染病毒。
    4.感染途徑確認為下載檔案感染,會在瀏覽被改竄的惡意網站、或開啟郵件、甚至點選彈跳視窗時強制安裝病毒。

    這加密病毒來源多半是藏在網頁廣告、假網站、非法郵件、隨身碟等,所以小編建議在網路上請小心:
  1. 盡量不要瀏覽未知網站或連結。
  2. 開電子郵件附件時小心是不是偽裝檔名的 exe 執行檔。
  3. 請勿使用「○○空間下載器」或迅雷 P2P 之類的下載工具程式。
  4. 請勿使用來源不明的隨身碟。
  5. 除了上述Windows 更新外,也請定期檢查防毒軟體是否正常更新。
  6. 請不要再繼續使用 Windows XP 系統,快快升級 Windows 7 以上版本。
  7. 最重要的,就是請記得定期備份重要資料和郵件,因為被加密後要救也都救不回來,只有刪除一途了!
  8. 最新變種版本Cerber 勒索病毒:系統會撥放一段語音,其內容為 “Attention! Attention! Attention!Your documents, photos, databases and other important files havebeen encrypted!”。而這段語音的意思是,「注意!注意!注意!你的文件、照片、資料庫和其他重要檔案都已經被加密!」
    此時檢查所有資料夾內文件,其檔案名稱都被更換為副檔名是 cerber 的加密文字。
  9. 在勒贖頁面中使用者必須支付 320 美元的贖金來購買 cerberdecryptor,並且以比特幣作為唯一支付方式,防止被追查到金錢流向。一旦超過 5 天付款期限,贖金將會提高至 2 倍金額 640 美元。
  10. 病毒也可能會持續進化變形,建議使用者還是要定期備份重要資料避免無法挽回。 建議使用者將系統重新安裝,避免病毒遺留的影響往後可能再次發生。
  11. 預防方法:
    1.作業系統升級windows 7以上。
    2.更新下列程式至最新版本:JavaAdobe ReaderAdobe Flash Player
    3.定期備份重要資料,以降低傷害程度;備份資料宜以光碟、隨身硬碟方式備份,備份完畢後務必將儲存媒體另 外收納,勿與電腦連接。
    4.勿開啟不明電子郵件,尤其非公務相關之信件,更勿使用公務電腦瀏覽不明網站,特別是大陸網站。
    5.察覺電腦有非常明顯速度變慢時,請第一時間拔除或關閉自己電腦的網路,避免病毒透過網路擴散。
    6.少去下載來路不明的檔案軟體、逛奇奇怪怪的網頁 、也沒人說,到底是怎麼感染到的。
    7.以上不保證100%有效,目前網路發表號稱可解密方是大多為唬爛文,大可不必浪費時間去試驗。
    良心的建議:不用再爬文了!無解!無解!無解!~直接重灌
    ※會被Crypt0l0cker加密的檔案格式如下*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

    檢查是否有感染:
    這病毒有潛伏期,不會馬上就讓你發現你的檔案被綁票了,可以先用搜尋軟體,查一下有沒有以下檔案:(中獎者電腦可能會含有的檔案)

    HELP_TO_SAVE_FILES.txt
    HELP_RESTORE_FILES.txt
    DECRYPT_INSTRUCTIONS
    RECOVERY_FILE.txt
    .encrypted (在原本檔案後加入.encrypted的副檔名)
    .ezz
    .ecc
    .ccc (最新)