[重要] 如何防范【勒索软体】绑架你的电脑、加密你的档案、跟你要钱?
最近两年,因为有利可图而且获得赎金的机率越来越高,类似 WanaCrypt0r 2.0, TorLocker, TorrentLocker, CryptoLocker 或 CryptoWall 等绑架软体的东西越来越多,,
继续阅读
这时候该怎麽办?通常,只有两个方法:
一类是乖乖的付钱然後祈祷他是有业界良心的坏人(并鼓励他继续作恶)。 二要假装自行没活过、没拍过照,整个把电脑后缀名化、都是气血全删了,然後再重灌。 这麽悲观?没错,因为算能透过某些技术把 TorLocker, TorrentLocker 或 CryptoLocker 之类的讹诈软体给移去掉,然而 大前半部被数据加密的档案是很难解,算找了密码专家、超级电脑来一个档一个档暴利破密,根本对你好的的成本与时间心思会更强。那究竟该怎麽办??是如何防范?
1.使用 Windows 以外的其他作业系统、不装 Java 或 Flash Player:
另外,能不装 Java 或 telegram中文:Flash Player 等程式就尽量不要装、不要用(不管是在哪个作业系统都一样),虽然这些勒索软体的问题并不是直接由 Java 或 Flash Player 等程式造成的,但近年来的许多攻击都是针对 Java 跟 Flash Player 等环境的弱点与漏洞来的(案例:),尤其是 Flash Player,只要电脑里的漏洞多了,很可能透过不同弱点交叉攻击或在取得权限後进一步植入其他木马、病毒或恶意程式,不可不防。或者也可使用已内建 Flash Player 的较新版本 telegram中文:Google Chrome 浏览器,透过 Chrome 的安全机制将风险限缩在一定范围内。
2.一定要装防毒软体、要更新 Windows Update、怪怪的档案不要开:
一直都到现在还是众多人觉得各自只 上上网罢了,只用浪费钱装什麽防毒软体。事实上但凡你会用电脑连上网、逛网页、收 Email,就会有众多众多机会接触到类病毒或恶意程式,和众多攻击还是透过网页、针对浏览器而来的。其实很多免费防毒软体都已经很好用、很有效果了(推荐使用小红伞),而且也不太会让电脑变慢,如果你用的是 Windows 电脑,那至少得装个防毒软体监控一下已知病毒与恶意程式。虽然说很多新型态的恶意程式并不一定会被防毒软体给侦测、阻挡下来,但至少一些已知病毒木马或有问题的档案会先警告你。
另一个,还要记得整存整取更换防毒软体蠕虫病毒码与作业系统的修补程式,愈加采用 Windows 系统的话必要要往往会更换 Windows Update 把xss漏洞补一补。 最重要要的是尽量少开一下很怪档案,我就觉得寄件者不认识,某些寄来的信函标题或内容有点很怪,不应该乱点乱开。3.备份!备份!备份!一定要用外接硬碟备份!
备份档案这种事情不用讲了,重要档案一定要定期备份(重点在定期、常常备份),而且必须使用外接硬碟、USB随身碟、记忆卡或烧成telegram中文版等方式做备份(云端备份也可以)。
因为当电脑病毒码袭来、开始进行加密解密你电脑中的每个资料、telegram中文集或经典telegram中文档时,万一你的外接硬碟或 USB 随身碟、记忆卡还连接着电脑,哪位定会被牵连、跟着被进行加密解密了!任何为了以免被牵连,必定要死期针对注重资料还备份,避免只有置于相同一台电脑或区网里的许多电脑,往往是必定要备份到外接储存设备,备份完後把线拿掉、还收拢来放!看起来很麻烦?对,是很麻烦,但是跟所有档案都被绑架、加密比起来,你会庆幸还好有备份!
已经中标的话,该怎麽办?
- 发现电脑有异常、开始出现档案被加密无法开启等状况时,马上拔掉网路线,避免病毒透过区域网路传染给办公室或家里的其他电脑。
- 如果档案加密的工作还没全部执行完成,马上关机、把硬碟拔起来再用其他电脑(最好是 Linux 或 Mac)去读硬碟,看看能不能把未被加密的档案救出来,也许还有一点点机会。
- 认了,付钱,然後祈祷他是个有良心的坏人。
- 完整格式化硬碟、清乾净後,重灌电脑。
- 记住这次教训,要常备份、要装防毒软体并更新 Windows Update、少开奇怪档案。
- 哭哭….
TO 小玲儿:
你可以看一下我先前的旧留言,我也是中了,最後自己找到方法救回,你可以看看是否跟我中的一样。如果你的系统是WIN7或WIN8系统,我先前查的友人说直接用内建系统还原到你中的前一天应该就可以救回来,不过我的系统不是所以没有试过行不行。
首先要看你被加密的附档名为何?然後到https://github.com/vrtadmin/TeslaDecrypt/tree/master/Windows
telegram中文版下载TeslaDecrypt_exe这个解密程式,这是cisco systems inc.开发的,我当初telegram中文版下载的版本是0.1.0.2(不知现在是否有新版的)只能解副档名ecc,不过我中的是新变种附档名是ezz,所以一开始测试是无法解开,之後我尝试将所有ezz改成ecc,我利用文件档(.txt)在里头打入rename *.ezz *.ecc然後将此档案txt副档名改成bat,它就变成一个执行档,直接点两下会自动帮你更改附档名。我就利用服务器资料夹功能找出每个被加密档案的资料,再将这个执行档放入每一个资料夹点选,让附档名变成TeslaDecrypt_exe可以解的ecc。同时也将TeslaDecrypt_exe放入每个资料夹。因为我是工作用的电脑中的,所以资料都是有分类,因不想影响分类,所以才逐一放。如果你的不需分类,只需用服务器功能将档案全部找出集中一起变更附档名,在一次解密也行。而这只是改副档名方法。重点是你一定要找到被加密完後所留下的key.dat这很重要,他里头纪录加密资讯。如果没这档案,有解密程式也无法解。另外,还有一个log.html,他是记录你被加密的程式及路径,你可以知道那些档案被加密。这两个档案可以用服务器方式找出。我的是在我电脑的使用者名称下资料夹找到的。会找这些档案,是因为中了,他会变更资料所以日期也会改变,所以我找出中的时间点把档案抓来查看而发现的。
而解法就是将TeslaDecrypter.exe,key.bat,被加密的档案及自做变更档名的执行档都放在一起,放在同一个资料夹,这样最快解。先执行变更副档名後,在执行TeslaDecrypter.exe,它会自动读资料夹中的key.bat。然後TeslaDecrypter.exe程式会问你要自动解硬碟里头被加密的资料,还是单独的资料夹。你就打no,他就会解你的这个资料夹的加密资料。如果档案多会跑很久可能几小时都可能,我有3万多笔资料被加密,所以也跑很久。选yes也可以不过我试过TeslaDecrypter.exe跑完只会解你放的资料夹,我猜可能是程式不知道路径所以无法解,而我说的log.html这个被加密的路径档案,因为TeslaDecrypter.exe不会去读他,我有试过放一起解。最後解完就是会而外一个正常的档案,另一个是被加密的档案,他不是自己变正常档案,而是生出正常的档案,跟解压缩一样,我想是TeslaDecrypter.exe程式的设计,以不影响原始被加密的档案。
最後档案就回来掀开看看是否正常,如正常再统一将加密档全删除即可。
如有不清楚可在留言讨论。
另外,每个被加密的资料夹也都会有一个HELP_TO_SAVE_FILES.txt的档案,他里头就是写的就是我原先po文的内容。
所以要看你中的是哪一种,因为每一种解法可能都不同,我有试过旧的解法都不行,最後看的po才更了解这绑架软体,进而找到方法把档案全救回来的。
其实还有一个很有效预防的方法: 开启显示副档名的功能
这样便可有效减低误按 exe 档、bat 档的机会
我电脑中了,不过防毒最後有挡下,所以档案没有全部被加密,也就是没有完全,所以没有相关的程式跳出。不过被感染的都有留下资讯如下:
档案名称:HELP_TO_SAVE_FILES.txt档。
内容:
All your documents, photos, databases and other important files have been encrypted
with strongest encryption RSA-2048 key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.
If you see the main encryptor red window, examine it and follow the instructions.
Otherwise, it seems that you or your antivirus deleted the encryptor program.
Now you have the last chance to decrypt your files.
Open or ,
in your browser.
They are public gates to the secret server.
Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.
188GiV2FHfSafPaLaGYuThDkQnoeQpCWKu
Follow the instructions on the server.
If you have problems with gates, use direct connection:
1. Download Tor Browser from
2. In the Tor Browser open the
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.
Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.
188GiV2FHfSafPaLaGYuThDkQnoeQpCWKu
Follow the instructions on the server.
————————————————
还有一个档案名称:RECOVERY_FILE.txt档
内容:
188GiV2FHfSafPaLaGYuThDkQnoeQpCWKu
B883FB8CF221DE96549B17C214D447C51F3928F3D194ACFAAEAF52A14DDC740F
5D73AB87F24BD483CFD67D2D75676F2D341A978A53B818DFF1ABEB88E4BB0058B2070F64307A6C6835629C373456C636CEDDAA1246547E9423DB132BE26343BA
————————————————————————————————-
另有一个log.html档案,里头写的都是被加密的档案路径。
也有一个key.dat档,
内容:
188GiV2FHfSafPaLaGYuThDkQnoeQpCWKu ????T??隼?9(鯬爹﹐鈙 5D73AB87F24BD483CFD67D2D75676F2D341A978A53B818DFF1ABEB88E4BB0058B2070F64307A6C6835629C373456C636CEDDAA1246547E9423DB132BE26343BA 砣r鏕E`6湴赊?cR?幎{??籚{箦[ 薣仕蜇[ I:蛓娗? ?? ?i s miT? ? : ? a?衷 g???k???6= d[菲ㄧ?
2?U 嚝冤
———————–
这样档案有救吗?因为楼上有人提供方法及程式,不过我还没试。
因为被加密的附档名是ezz而非ecc。有针对.ezz的解救方法吗?谢谢!