勒索軟體(Ransomware)阻擋您使用電腦,讓您的電腦和文件被勒索。這篇文章將介紹勒索軟體是什麼以及它是如何運作的,並提供如何預防的建議和該怎麼從感染的狀況下復原。
這篇文章將介紹:
- 勒索軟體如何運行?
- 常見問題
- 一般使用者應注意細節
- 企業與IT人員應注意細節
- 常見的勒索軟體
軟體勒索軟體如何運行?
有很多種類型的勒索軟體,然而,不管哪一種都會讓您無法正常的使用您的電腦。
他們的目標可能是任何者,不論是家用電腦,企業網路的使用者端,或政府機構與醫療團體的服務機等。
勒索軟體可能造成的威脅包含:
- 無法正常操作 Windows 系統
- 加密檔案讓您無法使用
- 停止特定程式的運作(如網頁瀏覽器)
勒索軟體將要求您支付一筆金額(贖金),您才能繼續使用您的電腦,然而我們不能保證當您繳交贖金之後能夠還原您的電腦。
常見問題集
- 合法軟體發行方真的能在我的電腦裡偵測到非法運作活動嗎?
不行。這些警告都是假的,和合法軟體發行商一點關係也沒有。這些訊息會盜用圖像和合法機構的公司標誌,讓假訊息看起來像真的。
- 我無法取得電腦和文件的使用權。請問我該直接付費並取得使用權嗎?
我們並不建議您採用付費的方式。付費後並不保證一定能拿回使用權,甚至可能讓您淪為惡意軟體再次攻擊的對象。
- 我該如何取回檔案使用權呢?
該如何復原檔案取決於檔案的儲存位置和您使用的 Windows 作業系統版本。在您嘗試附原檔案前,您可以使用惡意軟體離線掃描工具(Windows Defender Offline),確保電腦的安全性。
對於儲存、同步、備份過去於 OneDrive 中的 Office文件
.OneDrive 會在您每次變更檔案後,建立起版本歷程記錄,這也是強化檔案安全性的方法之一
.要檢視過往的檔案版本,請登入OneDrive 網頁版,點選右鍵後,選擇版本歷程記錄
.商務版 OneDrive 的使用者可以在 Office Support看到管理版本歷程記錄的引導文章
對於在電腦上的檔案
.您需要開啟在新系統中檔案紀錄功能(Windows 10 和 Windows 8.1版本) 或舊系統中的系統保護功能 (Windows 7 和 Windows Vista),在您的電腦被感染之前。在某些情況下,這些功能已被電腦製造商或網路管理者預設開啟。
.一些勒索軟體甚至會將您備份的檔案刪除或加密。這意味著,即使可以取得歷史檔案,但如果您將備份位置設在網路上或本機端,檔案依然有被加密的可能。若是備份在可移除的雲端硬碟,或即使您被感染時並沒有與之連接,檔案被加密的風險依然存在。
.查看 Windows 修復系統(Windows Repair and recovery site),以取得在對應作業系統下,該如何回復檔案的協助
如果您是被一種稱為 Crilock family (又名 CryptoLocker)的勒索病毒感染,您可以使用我們曾在MMPC部落格中提到的工具:FireEye 和 Fox-IT 工具能夠幫助您還原被Crilock加密的文件
- 如果我已經付錢了該怎麼辦?
您應該與銀行或當地的機構聯絡,如警察局。如果您是使用信用卡付款,銀行方面可能可以幫您取消交易,並將付款償還。以下由政府設立的詐騙防治網站也許能幫上您的忙:
.在澳洲,請參訪SCAMwatch網站
.在加拿大,請參訪Canadian Anti-Fraud Centre網站
.在法國,請參訪Agence nationale de la sécurité des systèmes d’information網站
.在德國,請參訪Bundesamt für Sicherheit in der Informationstechnik網站
.在愛爾蘭,請參訪An Garda Síochána網站
.在紐西蘭,請參訪Consumer Affairs Scams 網站
.在英國,請參訪Action Fraud網站
.在美國,請參訪On Guard Online網站
如果您的國家未在上述中,我們鼓勵您與當地警察機關或通信管理局連繫。
- 這些訊息是怎麼知道我的 IP 位址的?
您的IP地址通常不是隱藏的,因此有許多線上工具可以查詢得到。
- 勒索軟體是怎麼找上我的電腦的?
在大多數情況下,當您造訪一個惡意網站或遭到了駭客攻擊時,勒索軟體便會自動下載。
除了勒索軟體,對於其他惡意軟體如何入侵您的 PC,請參考:
- 我該如何保護自己不受勒索軟體的侵害?
您應該這樣做:
.安裝並使用最新防毒解決方案 (為您推薦 Microsoft Security Essentials)
.確保您的軟體是最新版本
.避免點擊或開啟不明來源的郵件或是附件
.確定您將 smart screen打開
.在您的網頁瀏覽器中執行快顯封鎖程式
.定期備份您的重要文件
您可以使用雲端空間服務來備份您的檔案,以便保存歷史紀錄及儲存管理。為您推薦 OneDrive,完美搭配 Windows 10、Windows 8.1 及 Microsoft Office。當您將勒索軟體移除後,您可以從「歷史紀錄」中恢復過去為加密的文件。
參考常見問題集中的「如何找回我的檔案」,即可更了解如何在OneDrive中使用此功能。
想要查看更多預防惡意軟體的方法,您可以查看此篇連結
- 我該如何將勒索軟體從我的電腦移除
微軟並不建議您繳交罰款,因為這並無法保證可以讓您成功取回檔案。
如果您已經繳交罰款,請參考上方的問題「如果我已經繳交罰款,我該怎麼做?」
移除勒索軟體的方法主要取決於該軟體類型
如果您的網頁瀏覽器已被鎖定
您可以開啟工作管理員將網頁瀏覽器解除鎖定:
1. 開啟工作管理員,依循以下步驟:
.在工作列空白處 按下右鍵 並點擊工作管理員或開啟工作管理員
.按下 Ctrl+Shift+Esc
.按下 Ctrl+Alt+Delete.
2. 查看應用程式或處理程序中的清單,選取您的網頁瀏覽器
3. 按下結束工作。如果需要等待應用程式回覆,請直接按結束工作
4. 有些工作場合,您不能隨意的呼叫您的工作管理員,您可以聯絡IT 部門給您協助
當您打開您的網頁瀏覽器,您可能會被詢問是否還原上一階段的使用,請不要還原,不然您可能又會回到勒索軟體的控制中了。
您可以看看上面的問題:我該如何保護自己不被勒索軟體控制?學習如何在使用電腦時不被勒索軟體攻擊。
若您的電腦被上鎖了
方法一:在安全模式下使用微軟安全掃瞄
首先,從一個乾淨、未受攻擊的電腦中下載 Microsoft Safety Scanner(微軟安全掃描),接著將該檔案存入一個空白的USB或是CD中,並且將其插入受感染的電腦中。
您可以試著在安全模式下重啟您的電腦:
In Windows 10
In Windows 8.1
In Windows 7
In Windows Vista
In Windows XP
當您進入安全模式之後,試著執行 Microsoft Safety Scanner
方法二:使用 Windows Defender Offline
因為勒索軟體會讓您無法使用您的電腦,因您可能無法下載或是執行 Microsoft Safety Scanner。如果發生了這樣的事,您可能必須使用這個免費軟體 Windows Defender Offline:
您可以參考這邊進階故障排除來得到更多幫助。
當您的電腦清理乾淨之後,您可以採取的步驟
1. 確保您的電腦受到防毒軟體的保護
2. 微軟有免費的安全維護軟體可以供您使用:
.若您擁有 Windows 10 或 Windows 8.1 ,您的電腦本身就擁有防毒軟體: Windows Defender
.若您使用的是Windows 7 或是 Windows Vista,您需要下載防毒軟體如 Microsoft Security Essentials
.您也可以在我們的更新頁面中更新您的安全維護軟體
若您不想使用以上的防毒軟體,您當然也可以下載其他公司的防毒軟體,只要您確保他時時都運行著,並且能夠提供您最即時的保護。
家庭用戶需要知道的細節
有兩種勒索軟體—鎖屛勒索以及加密勒索。
鎖屏勒索軟體會顯示一則全螢幕的訊息,不讓您可以使用您的電腦或任何檔案。它會告訴您,您需要繳交一筆金額(贖金)才能夠重新自由的使用您的電腦。
加密勒索軟體將對您的資料作變更並將其加密,使您無法重新開啟他們。若您對這種技術和科技感興趣,您可以在本文企業的段落查看更多。
以往的勒索會告訴您您曾經使用電腦做了非法的事情,而現在警方查到且要處以罰鍰。這些消息都是不實的,這是一種驚嚇手法,讓您因為恐懼而支付罰金,卻忘記要尋求相關支援,請別人幫您重新設定您的電腦。
而現在的勒索手法會將您電腦中的檔案全部加密,使您無法輕易存取您的檔案,並且要求您繳交金錢才會還原您的檔案。
這些勒索軟體有可能來自各種地方,正如同其他的惡意軟體或病毒一樣。其中包括:
.造訪不安全、可疑、不實網站
.開啟來源不明的郵件或是附件
.點選郵件、Facebook、Twitter、其他社群媒體或是即時訊息軟體如Skype中的惡意連結
當您受到勒索軟體的攻擊時,您將很難還原您的電腦,尤其是遭受到加密勒索軟體的襲擊。
因此最好的解決方法便是預防,在網路、郵件、即時聊天的對話框中必須注意安全:
.除非您非常相信該網頁,否則不要點擊任何網頁、無論是在郵件中或是在聊天軟體中
.如果您曾經有過一絲懷疑,千萬不要點選該連結
.通常假的郵件或是網頁都會出現拼字錯誤或是看起來很不對勁。您可以找找看其中的異常錯誤,如公司名稱錯誤,PayPal 寫成 PayePal,或是有些符號上的不同,例如 iTunesCustomerService 便是假冒 iTunes Customers Service。
若您想要得到更多關於勒索軟體的資訊,您可以查看常見問題集,包含您該如何備份您的檔案以保護自己。
企業用戶及IT人員須知道的細節
目前為止企業用戶被勒索軟體的受害者不斷的上升。通常,這些攻擊者會鎖定受害者並且做特定的研究(有點類似鯨釣(whale-phishing)、或是魚叉網釣(spear-phishing))。
這些重要的檔案被加密,若您想要還原這些檔案就必須繳交大筆的金錢。通常來說,這些攻擊者將把目標加密文件及資料整理成清單。
而這些加密的文件,即使是工程師也難以將密碼破解或是還原,只有那些擁有密碼的攻擊者做得到。
對於這些案例,最佳的預防措施即是確保公司中的機密文件、重要資料可以被安全且完整的備份至一個遠端的備份處或是儲存設備中。
OneDrive for Business 將可以幫助隨時備份您的資料
有些情況下,某些安全性企業釋出的第三方的工具可以幫助您將遭到勒索軟體上鎖的資料解鎖。您可以參考以下文章作為例子。Tim Rains,微軟的安全總監在這篇文章中有提及相關的勒索軟體以及因應策略,另外還有一些給企業及IT產業人員的預防性建議,您可閱讀此篇文章了解更多資訊。
常見的勒索軟體
現在對於全球來說,勒索軟體成為了一個問題,尤其是在義大利以及美國東部沿海地區。
過去的六個月(2015 年 12 月至 2016 年 5 月),Tescrypt 的出現不斷成長,Crowti、Brolo、FakeBsod也依舊常常出現困擾民眾。
Reveton這個勒索軟體已經降低出現率,六個月前出現率曾高達7%,現在已經降為1%了。
圖表一 前十大常見的勒索軟體(自2015 年 12 月至 2016年 5 月 )
圖表二 前十大常見的勒索軟體(自 2015 年 6 月至 2015年 11 月 )
此圖為偵測到最多勒索軟體的前十名國家及其比例,其中,有一半的案例來自於美國。義大利則是位居第二,接下來是加拿大、土耳其以及英國,而剩下的勒索情形遍布於全球各地。
圖表三 出現勒索軟體之前十名國家(自 2015 年 12 月至 2016年 5 月
在美國,最常出現的勒索軟體為 FakeBsod 接下來是 Tescrypt 以及 Brolo。另一方面,義大利最盛行的是 Tescrypt。
圖表四 在勒索案例頻繁的國家中常見的勒索軟體(自 2015 年 12月至 2016 年五月)
FakeBsod 使用一種惡意的 JavaScript 程式碼將您的網頁瀏覽器上鎖,並且跳出一個不實的警告訊息。此訊息將要求您與微軟技術人員聯絡,因為出現了Error 333 的錯誤,當您致電給訊息中的電話號碼,他們將要求您繳交一定的金額以解決這項錯誤。圖表五為此不時警告訊息的範例:
圖表五:FakeBsod 使用訊息將您的網頁瀏覽器上鎖
您可以不用支付絲毫費用,也能將您的網頁瀏覽器掌控權奪回。您只需要使用工作管理員將警告訊息關閉。
當您重新開啟您的瀏覽器,記得不要選擇還原先前的網頁。
您可以點選以了解更多FakeBsod的資訊
常見勒索軟體:
- Ransom:HTML/Tescrypt.E
- Ransom:HTML/Tescrypt.D
- Ransom:HTML/Locky.A
- Ransom:Win32/Locky
- Ransom:HTML/Crowti.A
- Ransom:HTML/Exxroute.A
- Ransom:Win32/Cerber.A
- Ransom:JS/FakeBsod.A
- Ransom:HTML/Cerber.A
- Ransom:JS/Brolo.C