-技術文章
技術支援
2023.11.10

勒索病毒救援的關鍵:了解攻擊原因和應對方法

▼目錄


勒索病毒會導致重要的檔案遭到綁架加密,這是現在網路世代時常遭遇的問題,駭客會將我們電腦的資料加密並勒索贖金,勒索病毒的散播途徑與其他病毒相同,例如:開啟陌生郵件、下載附件、開啟不明連結、瀏覽不安全網站...等原因。
 

勒索病毒如何防範?


▼勒索病毒是什麼?

我們不小心開啟陌生郵件、下載不明附件、瀏覽不安全網站...等行為,可能會導致電腦遭到勒索病毒綁架,『勒索病毒會將受害者的電腦資料綁架並加密』,最後再向電腦使用者要求支付贖金,才解除加密的資料,常見贖金的支付方式是虛擬貨幣(比特幣),並且有些勒索病毒會依照支付贖金的時間而增減,要脅越晚支付贖金則越高,也有受害者因此支付了贖金,資料卻沒有拿回來的情況發生。

勒索病毒是什麼?我們要怎麼防範重要資料遭到綁架
(勒索病毒是什麼?我們要怎麼防範重要資料遭到綁架)

▼勒索病毒如何預防?

勒索病毒的防範方法與其他惡意病毒相同,我們注意幾點事項就可以減少遭到勒索病毒綁架資料的風險,前三點是感染勒索病毒的常見原因,第六點是最為重要,就是平時要養成資料備份的習慣,就算不幸感染勒索病毒也不用擔心資料遭綁架,如果想了解資料備份的方法,請參考我們這篇《資料備份全攻略:認識5個備份方法與觀念》。

①不要開啟陌生郵件和附件

我們的電子信箱(Email)有與客戶往來的郵件,但也有不明的偽裝郵件甚至冒充廣告信,如果不小心開啟病毒的連結或附件,就會導致重要的資料遭到勒索病毒綁架,所以請不要任意開啟陌生的郵件,並且建議關閉郵件的預覽功能,平時良好的習慣就可以避免電腦感染勒索病毒。

不要開啟陌生郵件,可能暗藏勒索病毒
(不要開啟陌生郵件,可能暗藏勒索病毒)

②不要開啟冒充網頁並關閉Flash插件

我們網路搜尋一些產品或品牌,發現有網站冒充或內容疑似欺騙,請不要任意開啟連結和網站,避免重要的資料遭到勒索病毒綁架,因為駭客可能會將勒索病毒隱藏在某一個連結並讓我們下載,我們建議可以關閉瀏覽器Flash的插件功能,可以避免自動開啟或瀏覽檔案。

不要任意開啟冒充或含有惡意程式的網站,避免資料遭到綁架
(不要任意開啟冒充或含有惡意程式的網站,避免資料遭到綁架)

③不要下載不明的軟體

我們在網路上查詢電腦相關的解決方法,搜尋頁面會列出眾多軟體的下載連結,通常都是需要付費的軟體,但在網路上會找到一些號稱『免費破解的軟體連結』,但魔鬼藏在細節裡,因為勒索病毒或惡意程式可能會隱藏在軟體的載點裡。

④開啟防火牆並安裝防毒軟體

建議電腦務必開啟防火牆和安裝防毒軟體,這樣可以避免電腦遭到惡意程式和勒索病毒感染,但是防毒軟體也需要定期更新病毒的資料庫,因為這些勒索病毒和惡意程式也會更新,為了綁架資料勒索贖金,駭客會設法跳過防毒軟體和電腦防火牆。

電腦開啟防火牆和安裝防毒軟體增加保護力
(電腦開啟防火牆和安裝防毒軟體增加保護力)

⑤定期更新作業系統

電腦作業系統(Windows、MacOS)會『定期更新作業系統的安全性』,我們平時要定期更新作業系統,因為可能是作業系統的漏洞,但是原廠有推出作業系統的更新檔,就可以避免勒索病毒和惡意程式透過漏洞感染電腦。

定期更新作業系統避免感染勒索病毒
(定期更新作業系統避免感染勒索病毒)

⑥資料備份的良好習慣

我們了解以上可能造成感染勒索病毒的根本,但其實還有很多我們沒有列出的原因,所以最好的方式是『重要資料需要異地備份』,因為兩個相同的資料備份在不同裝置裡,其中一個硬碟不幸感染勒索病毒或硬碟無法讀取,但還有另外一個硬碟資料可以使用,我們建議異地備份才是最好的避免資料遭到綁架方法,如果想了解硬碟讀不到的相關資訊,可以參考這篇《外接硬碟讀不到?9個有效的解決方法》。

備份資料才是保全資料的最好方式
(備份資料才是保全資料的最好方式)
 

感染勒索病毒會發生什麼事?


電腦或儲存裝置不幸感染勒索病毒,病毒『一開始會潛伏電腦的後台』,默默下載加密資料的金鑰,並針對電腦和儲存裝置的資料進行加密,如果發現檔案已經出現未知副檔名(.locky、.radman、.crypt...等)和出現支付贖金的文件(README.txt...等),表示資料已經遭到勒索病毒綁架。

感染勒索病毒會變更檔案的副檔名並綁架資料
(感染勒索病毒會變更檔案的副檔名並綁架資料)

勒索病毒會在某些路徑新增支付贖金的文字檔
(勒索病毒會在某些路徑新增支付贖金的文字檔)

▼感染勒索病毒的優先步驟

我們已經不幸感染勒索病毒並且重要的資料已經遭到加密綁架,第一時間請不要著急支付贖金或透過網路軟體搶救,建議『關閉網路連線』,以免勒索病毒對網路磁碟機和共用資料夾的檔案進行加密,我們可以轉移還未遭到加密的資料到其他硬碟內,可以救回多少算多少,如果發現勒索病毒持續加密其他的檔案,請立即將電腦關機,避免勒索病毒持續擴散。

立即關閉網路避免勒索病毒擴散到其他路徑
(立即關閉網路避免勒索病毒擴散到其他路徑)

▼感染勒索病毒但資料不重要

電腦或儲存裝置感染勒索病毒,但是裡面資料不重要,只是硬碟想要繼續使用,那我們可以對遭到勒索病毒感染的硬碟執行低階格式化(Full Format),之後再安裝作業系統或當成資料碟,如果想了解資料清除的方法,可以參考我們這篇《資料清除指南:3個清除硬碟資料的方法》。

感染勒索病毒但資料不重要可以格式化清除
(感染勒索病毒但資料不重要可以格式化清除)
 

NAS感染勒索病毒怎麼辦?


近年傳出很多網路儲存裝置(NAS)不幸遭到勒索病毒綁架資料的災情,只能委託駭客協商公司或專業的加密破解公司幫忙,所以使用者務必要做好預防的工作,避免重要的資料遭到綁架,我們提供幾個預防方法,避免NAS的資料遭到綁架病毒加密,如果想了解NAS是什麼?請參考這篇《NAS是什麼?淺談網路儲存裝置的重要性和優點》。

▼NAS設置權限存取權

NAS是透過網路存取資料的裝置,只要擁有IP、帳號、密碼並開放權限,就可以隨時存取資料,我們可以透過設定規劃各個使用者和資料夾的存取權限,並設置登入的安全憑證,讓NAS管理者收到通知,不會因為一個使用者感染勒索病毒,而導致整個NAS資料都遭到綁架。

我們可以設置重要資料的存取權限,避免資料遭到綁架
(我們可以設置重要資料的存取權限,避免資料遭到綁架)

▼NAS定期更新系統和安全性更新

NAS內建系統我們要定期更新系統和安全性更新,可以避免系統出現漏洞,儘早預防這個問題發生,因為可能會無法抵擋新型態的勒索病毒,我們可以在NAS後台的系統資訊進行更新,避免重要的資料遭到勒索病毒綁架加密。

定期更新NAS系統和內建程式,避免遭到勒索病毒感染
(定期更新NAS系統和內建程式,避免遭到勒索病毒感染)

▼不要存取不明的檔案

電腦如果有不明的檔案或郵件附檔,請不要存取在NAS上,因為勒索病毒會利用釣魚郵件附檔,植入勒索病毒或惡意程式,我們可以安裝病毒防護和防範垃圾郵件的軟體,並建立網路防火牆,避免重要的資料遭到勒索病毒綁架。

▼檢查NAS的登入狀態

除了定期掃描病毒和檢查系統漏洞以外,管理者可以定期檢查登入狀態是否出現異常,未知IP在同時段一直試著登入,可以封鎖IP或是重設密碼,提高NAS遭到勒索病毒綁架資料的保護。
 

勒索病毒的資料救援


我們在網路上查詢勒索病毒的解決方法,會發現有很多『勒索病毒解密軟體與清除病毒的方法』,但現在新型態的勒索病毒都會變種,還沒有很有效的資料救援方式,建議事先預防並且做好異地備份,才可以避免重要的資料遭到勒索病毒綁架,睿卡科技曾經有破解勒索病毒的問題,但並非所有型態的勒索病毒都可以破解成功,需要經由工程師檢測並嘗試解密。

▼勒索病毒解密的收費方式

我們是依照勒索病毒的解密難度和資料量進行報價,再來並非全部的勒索病毒都可以破解,建議先來電或線上諮詢了解,可以提供給我們勒索信截圖或遭加密的副檔名。
 
勒索病毒資料救援費用(並非全部都可以破解)
  狀況 費用
  解密困難度較輕微 $10,000-30,000
  解密困難度較困難 $20,000-40,000
  加密的資料量龐大且解密難度高 檢測後報價
・基本檢測費 $500  
・不需先支付任何費用
02-27199059