https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

您該如何面對勒索病毒的威脅(下)

2017 / 11 / 09
詹泉思
您該如何面對勒索病毒的威脅(下)

面對勒索病毒該如何自處
勒索病毒通常會在其設定的時間發作,將你的電腦鎖住,並跳出警告視窗,說明你應該採取甚麼步驟來跟駭客聯絡與繳付贖金。以下說明面對勒索病毒的處理方法。


方法一、 保持電腦現狀、立即斷網
當使用者發現電腦已經出現勒索病毒的說明畫面時,切勿驚慌,應先立即將網路切斷,防範病毒透過網路擴散到其他電腦。如果勒索病毒正在加密你的資料,你可以立即斷電,以便讓勒索軟體停止加密動作。請先確認有多少檔案資料已經被加密,被加密的檔案請勿開啟它,並將這些中毒檔案刪除,若還有確認沒有中毒的文件檔案,請先備份資料到其他備份資料用的硬碟。

若勒索病毒已經完成加密動作,此時斷電也已經無濟於事,因此請不要重新開機,因為重新開機不僅無濟於事,也有可能將解救檔案的機會消除。2017年5月,安全研究人員Adrien Guinet發現WannaCry病毒用來加密的Windows API存在的缺陷,在非最新版作業系統(Windows 10)中,所用私鑰會暫時留在記憶體中而不會被立即清除。他開發了一個名為wannakey的開放原始碼工具程式,並稱可為感染該病毒且執行Windows XP的電腦找回檔案,前提是該電腦在感染病毒後並未重新開機,且私鑰所在記憶體還未被覆蓋(這需要一點運氣)。

由於駭客也一直在更新勒索病毒的版本,網路上找到的一些解密軟體,基本上都只針對早期中勒索病毒的破解,到後期中勒索病毒的受害者,可以等之後防毒軟體公司提供的解密軟體,但是要等多久就無法確定了。

不同的勒索病毒也會有不同的解密程式,萬一作業系統中了勒索病毒,請先盡速與配合的資安專家聯繫,或許這些安全廠商會有資料恢復工具,能夠幫助用戶恢復檔案,但也請不要抱持太大的希望。

方法二、 避免與駭客接觸、立即聯繫資安專家
很多勒索病毒受害者會尋找救援資料的方法,但不幸的是目前勒索病毒基本上是無解的,處理方法不外乎兩種:付贖金救資料,但付贖金並不能保證一定獲得解密軟體與金鑰,付贖金前請先自行斟酌考慮清楚,二便是重灌電腦,放棄資料,這往往也是最常見也最簡單的方法。

無論如何,請盡量不要與駭客有任何的接觸,無論駭客勒索的金額多寡,因為當你付出贖金之後,你仍然不一定能夠拿到解碼的金鑰,就算駭客提供你真正的金鑰,與駭客妥協,也是在助長駭客的氣焰,未來駭客也會想辦法再去加害更多人/電腦,所以應該盡量避免與駭客接觸。

如果你平時有做資料備份,你大可以與電腦專家合作,重新回復系統,你損失的可能只是少數的資料,對你的影響並不大。如果你平常沒有做資料備份的習慣,則你只能夠請資安專家來幫忙,嘗試來回復你的系統與資料。

雖然在新聞報導中,提到有人跟駭客哭窮,結果被駭客同情而願意提供還原金鑰給他,暫不論這個傳聞是真是假,也許駭客會真的免費提供金鑰給你,但這種機率畢竟不高,也有人跟駭客討價還價,以較便宜的價格拿到還原金鑰,但這種與駭客妥協的方式,其實也讓自己成為下次電腦再次中毒、再次被勒索的首要目標。

此外,你也可以尋求警察的協助,也許警方的科技專家也有機會可以幫助你,不過,畢竟警察部門只能協助你追查駭客的可能位置,並不負責協助救援資料,因此,請不要給予警察單位太大的壓力與太高的期望。

結語
正所謂「預防重於治療」,與其跟駭客哭窮或是支付贖金,不如平時便做好資料的定期備份,並建立良好的資安警覺性與電腦操作習慣,才是避免被病毒或木馬感染的不二法門,願大家都能遠離勒索病毒的威脅。