跳至主要內容

预防勒索软件

最新消息:

为防御 Petrwrap 及 WannaCry 勒索软件攻击大规模扩散,请立即采取以下行动:

  1. 把重要资料备份和不要把备份资料连接电脑;
  2. 为所有 Windows 系统安装最新的保安修补程式;
    https://news.microsoft.com/zh-hk/2017/05/13/ransomware-awareness-and-actions-needed/
  3. 封锁 SMB 通讯埠 ( TCP 139 和 445 通讯埠 ) 以阻挡互联网接达;
  4. 保持电脑系统的抗恶意程式码软件及其识别码至最新版本;及
  5. 提防可疑的电邮和网站,以及不要开启来历不明的附件及超连结。

在网上传送或储存资料时,我们往往会使用加密技术把资料加密,以减低资料外泄的风险。可是,电脑罪犯却利用这种加密技术作网络攻击。最近,勒索软件在全球有蔓延趋势,透过电邮及被入侵的网站快速散播,情况备受关注。

勒索软件是一种恶意软件。电脑罪犯会利用这种软件把受感染电脑装置内的档案加密。这些被加密的档案就好像人质一样,受害人如要取回这些资料,便需按照勒索软件的指示缴付「赎金」,才可把档案解密。

有效预防勒索软件的保安贴士


  1. 经常把重要资料备份和不要把备份资料连接电脑
  2. 为使用中的软件安装最新的修补程式
  3. 检查及更新抗恶意程式码软件及识别码至最新版本
  4. 定期全面扫描电脑,以侦测及防预恶意软件攻击
  5. 停止或限制使用电脑系统内所有不必要的服务及功能
  6. 不要开启可疑的电邮及即时短讯,或当中的附件和超连结
  7. 不要浏览可疑网站,亦不要从可疑网站下载任何档案
  1. 原因和影响原因和影响
  2. 受勒索软件感染的屏幕截图受勒索软件感染的屏幕截图
  3. 预防措施预防措施
  4. 受到感染后应如何处理?受到感染后应如何处理?
  5. 修复加密档案的参考工具修复加密档案的参考工具
  6. 影片影片
  7. 资讯图表资讯图表
  8. 推广活动推广活动
  9. 延伸阅读延伸阅读

受勒索软件感染的原因和影响

受感染的原因

  • 开启可疑电邮或当中的附件及超连结
  • 浏览包含恶意程式的网站
  • 下载及安装包含勒索软件的软件或流动应用程式

受感染的影响

  • 受感染的电脑装置及该电脑所接驳的其他储存装置内的档案会被加密。除非已适时进行备份,否则可能会损失这些数据。

电脑装置受勒索软件感染的屏幕截图

以下的屏幕截图显示计算机受某种勒索软件感染的过程。不同的勒索软件会有不同的感染模式

第1部:电脑在未受勒索软件感染前的档案(有已知扩展名)

第1部:电脑在未受勒索软件感染前的档案(有已知扩展名)



第2步:用户开启包含勒索软件的程式

第2步:用户开启包含勒索软件的程式



第3步:勒索软件开始把电脑装置内的档案加密

第3步:勒索软件开始把电脑装置内的档案加密



第4步:所有文件、相片和媒体档案被勒索软件加密

第4步:所有文件、相片和媒体档案被勒索软件加密



第5步:勒索软件建立文字档,通知用户档案已被加密

第5步:勒索软件建立文字档,通知用户档案已被加密



第6步:勒索软件并建立图形档案,通知用户档案已被加密

第6步:勒索软件并建立图形档案,通知用户档案已被加密



第7步:最后桌面背景图象被更换

第7步:最后桌面背景图象被更换



预防措施

  • 经常把重要资料备份和不要把备份资料连接电脑
  • 为使用中的软件安装最新的修补程式
  • 检查及更新抗恶意程式码软件及识别码至最新版本
  • 定期全面扫描电脑,以侦测及防预恶意软件攻击
  • 停止或限制使用电脑系统内所有不必要的服务及功能
  • 不要开启可疑的电邮及即时短讯,或当中的附件和超连结
  • 不要浏览可疑网站,亦不要从可疑网站下载任何档案
  • 只安装来源可靠的软件和流动应用程式,如有可疑的权限要求,切勿安装
  • 对于受恶意软件感染风险较高的业务运作,例如处理客户查询电邮,应安排一部没有网路磁碟机及只限接驳至内部网络的专用电脑,以尽量减低受感染的风险,而负责的员工亦要提高警觉,提防潜在的感染。


抗恶意程式码保安软件

受到感染后应如何处理?

  • 切断受感染电脑的网络连线,以免影响网络磁碟机及其他电脑
  • 关上电脑的电源,防止勒索软件把电脑内更多档案加密
  • 记下你在发现有关事件前曾经进行的电脑操作,例如使用过的程式和档案、开启过的电邮及浏览过的网站
  • 香港警务处举报有关罪行
  • 从备份复原数据至未受感染的电脑装置
  • 查阅是否有参考工具修复被勤索软件加密的档案

修复加密档案的参考工具

勒索软件名称 副档案名称 其他症状 参考工具
Jaff .jaff
.wlu
.sVn
<NA>
777 / Democry .777 <不适用>
Agent.iih Aura
Autoit
Bitman
Chimera
Cryptokluchen
Democry
Jigsaw
Mircop
Lamer
Libra
Lobzik
Pletor
Rakhni
Rotor
SIL.Lortok
_crypt
._date-time_$address@domain$.777
._date-time_$address@domain$.legion
.AES256
.AFD
.chifrator@qq_com
.btc
.coderksu@gmail_com_id20
.coderksu@gmail_com_id371
.coderksu@gmail_com_id372
.coderksu@gmail_com_id374
.coderksu@gmail_com_id375
.coderksu@gmail_com_id376
.coderksu@gmail_com_id392
.coderksu@gmail_com_id357
.coderksu@gmail_com_id356
.coderksu@gmail_com_id358
.coderksu@gmail_com_id359
.coderksu@gmail_com_id360
.cry.crypt@india.com.random_characters
.crypto
.darkness
.dyatel@qq_com
.enc
.encrypted
.epic
.fun
.gruzin@qq_com
.gws
.helpdecrypt@ukr.net
.J
.kraken
.locked
.micro
.nalog@qq_com
.nochance
.oplata@qq_com
.oshit
.paybtcs
.paymds
.paymrss
.paymrts
.paymst
.payrms
.payransom
.porno
.pornoransom
.pizda@qq_com
.relock@qq_com
.troyancoder@qq_com
.ttt
.SecureCrypted
.xxx
hb15
<不适用>
Al-Namrood .unavailable
.disappeared
勒索软件留下“.Read_Me.Txt”
的档案,当中通知受害人联络以下电邮地址decryptioncompany@inbox.ru
fabianwosar@mail.ru
Alcatraz Locker .Alcatraz
勒索软件留下 “ransomed.html” 的档案
AlphaCrypt 0.x <不适用> 勒索软件留下 “HELP_TO_SAVE_FILES.txt”及 “HELP_TO_SAVE_FILES.bmp” 的档案
Apocalpse .encrypted
.Encryptedfile
.FuckYourData
.locked
.SecureCrypted
勒索软件留下 “.How_To_Decrypt.txt” 或
".Contact_Here_To_Recover_Your_Files.txt”
的档案,当中通知受害人联络以下电邮地址 decryptionservice@mail.ru
recoveryhelp@bk.ru
decryptdata@inbox.ru
AutoLocky .Locky 勒索软件留下 “info.txt” 或 “info.html” 的档案
Autolt <原本档案名称>@<电邮伺服器名称>_.<一组随机英文字母> <不适用>
BadBlock <副档案名称不变> 桌面背景被更换成勒索讯息及桌面会有一个名为”Help Decrypt.html”的档案,说明该电脑感染该名称的勒索软件 的档案,说明该电脑感染该名称的勒索软件
Bart .bart.zip 桌面背景被更换及桌面会有“recover.bmp” 及 “recover.txt” 的档案
Bitcryptor <不适用> 勒索软件声称为 “Bitcryptor”
CoinVault <不适用> 勒索软件通知受害人联络以下电邮地址
coinvault@openmailbox.org
Cerber V1 .cerber 勒索软件留下“#DECRYPT MY FILES#.txt”, “#DECRYPT MY FILES#.html” 及 “#DECRYPT MY FILES#.vbs” 的档案
Cryaki CRYPTENDBLACKDC <不适用>
CrypBoss .crypt
.R16M01D05
勒索软件通知受害人联络有 “@dr.com” 的电邮地址
Crypt888 / Mircop Lock.<原本档案名称> 桌面背景被更换成勒索讯息
CryptInfinite .CRINF <不适用>
CryptoDefense <不适用> 勒索软件留下“HOW_DECRYPT.txt” 的档案
CryptXXX V1 .crypt
.crypz
.cryp1
5位十六进制字母
<不适用>
CryptXXX V2 .crypt
.crypz
.cryp1
5位十六进制字母
<不适用>
CryptXXX V3 .crypt
.crypz
.cryp1
5位十六进制字母
<不适用>
CrySiS .johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl
勒索软件留下 “Decryption instructions.txt”, ” Decryptions instructions.txt” 或 ”README.txt” 的档案
DMALocker <副档案名称不变> 勒索软件声称为 “DMA Locker” 及受害人的 ID 为 "DMALOCK 41:55:16:13:51:76:67:99"
DMALocker2 <副档案名称不变> 勒索软件声称为 “DMA Locker” 及受害人的 ID 为 "DMALOCK 43:41:90:35:25:13:61:92"
Fabiansomware .encrypted 勒索软件留下
“.How_To_Decrypt_Your_Files.txt”
的档案,当中通知受害人联络以下电邮地址decryptioncompany@inbox.ru
fwosar@mail.ru
fabianwosar@mail.ru
FenixLocker .centrumfr@india.com!! 勒索软件留下"CryptoLocker.txt"或"Help to decrypt.txt" 的档案
Gomasom .crypt 受影响档案名称付有联络电邮
Globe .ACRYPT
.blackblock
.decrypt2017
.dll555
.duhust
.exploit
.frozen
.globe
.gsupport
.GSupport[0-9]
.hnumkhotep
.kyra
.purged
.rald[0-9]
.siri-down@India.com
.xtbl
.zendrz
.zendr[0-9]
.hnyear
勒索软件留下"How to restore files.hta" 或"Read Me Please.hta" 的档案
Harasom .html 勒索软件声称来自Spamhaus 或 the US Department of Justice.
HiddenTear .암호화됨
.34xxx
.8lock8
.bloccato
.BUGSECCCC
.CAZZO
.doomed
.flyper
.fucked
.Hollycrypt
.kratos
.krypted
.lock
.locked
.lok
.mecpt
.monstro
.razy
.saeld
.unlockIt
勒索软件留下 "READ_IT.txt”,
“MSG_FROM_SITULA.txt” 及
“DECRYPT_YOUR_FILES.HTML” 的档案
HydraCrypt .hydracrypt
.umbrecrypt
<不适用>
KeyBTC <不适用> 勒索软件留下 “DECRYPT_YOUR_FILES.txt”的档案,当中通知受害人联络以下电邮地址keybtc@inbox.com
LeChiffre .LeChiffre 勒索软件通知受害人联络以下电邮地址decrypt.my.files@gmail.com via email.
Legion A variant of
._23-06-2016-20-27-23_$f_tactics@aol.com$.legion
Or
.$centurion_legion@aol.com$.cbf
桌面背景被更换成勒索讯息
Malboro .oops 勒索软件留下“HELP_Recover_Files_.html” 的档案
MarsJoke Polygot <No Change> 桌面背景被更换成勒索讯息
MRCR / Merry X-mas .PEGS1
.MRCR1"
.RARE1
.MERRY
.RMCM1
勒索软件留下
"YOUR_FILES_ARE_DEAD.HTA"
或"MERRY_I_LOVE_YOU_BRUCE.HTA"
的档案,当中通知受害人联络以下电邮地址comodosec@yandex.ru或使用即时通讯程式Telegram联络 “comodosecurity”
Nemucod .crypted 勒索软件留下 “DECRYPT.txt” 的档案
NMoreira .__AiraCropEncrypted!
.maktub
勒索软件留下“Recupere seus arquivos. Leia-me!.txt” 或“How to decrypt your files.txt” 的档案
NoobCrypt <No Change> 勒索软件留下“Recupere seus arquivos. Leia-me!.txt” 或“How to decrypt your files.txt” 的档案
OzozaLocker .locked 勒索软件留下”HOW TO DECRYPT YOU FILES.txt” ,当尝试开启加密档案后会弹出勒索讯息视窗
OpenToYouDecrypt .-opentoyou@india.com 勒索软件留下 “!!!.txt”的档案
PClock <副档案名称不变> 勒索软件声称为 “CryptoLocker” 及会留下一个名为 “enc_files.txt” 的档案
Philadelphia .locked 弹出勒索讯息视窗
Radamant .rdm
.rrk
<不适用>
Rannoh locked-<原本档案名称>.<4位随机英文字母>
Shade .7h9r
.better_call_saul
.breaking_bad
.da_vinci_code
.heisenberg.
.no_more_ransom
.windows10
.xtbl
.ytbl
勒索软件留下 “README.txt” 的档案,当中通知受害人联络档案中的电邮地址
SNSLocker .RSNSLocked <不适用>
Stampado .locked 弹出勒索讯息视窗
SZFLocker .szf 尝试开启加密档案后弹出勒索讯息视窗
TeslaCrypt V1 .ECC <不适用>
TeslaCrypt V2 .AAA
.ABC
.CCC
.VVV
.XYZ
.ZZZ
<不适用>
TeslaCrypt V3 .TTT
.XXX
.MICRO
.MP3
<不适用>
TeslaCrypt V4 <副档案名称不变> <不适用>
Wildfire Locker .wflx 弹出勒索讯息视窗
Xorbat .crypted <不适用>
Xorist
Vandev
.XORIST
.EnCiPhErEd
.0JELvV
.p5tkjw
.6FKR8d
.UslJ6m
.n1wLp0
.5vypSa
.YNhlv1
勒索软件留下 “HOW TO DECRYPT FILES.txt” 及 “CryptLogFile.txt” 的档案

影片

勒索软件
勒索软件
片长: 2:34
HKPC生产力频道: 加密勒索软件袭港 电脑用户如何自保?
片长: 3:47
香港警务处警察公共关系科 - 勒索软件出没注意!
片长: 2:01

资讯图表

推广活动

昔日活动

日期 活动名称 主办机构

5

20 / 06 / 2016
中小企网络安全研讨会 勒索软件袭港 网络安全你要知
  • 香港生产力促进局

4

31 / 05 / 2016
共建安全网络2016 - 「防御勒索软件 做好数据保护」研讨会
  • 政府资讯科技总监办公室
  • 香港警务处
  • 香港电脑保安事故协调中心

3

30 / 05 / 2016
Cyber Security Conference 2016 cum Formation of Cyber Security Alliance
  • 香港资讯科技商会

2

19 / 04 / 2016
学校资讯保安讲座:加密勒索软件 ~ 防范、数据保障与解决方案
  • 资讯科技教育领袖协会

1

22 / 03 / 2016
学校资讯保安讲座:加密勒索软件 ~ 危害、影响与解决?
  • 资讯科技教育领袖协会
  • 香港小学电子教育协会

延伸阅读及其他资源

免责声明:用户亦应留意网络安全资讯站中的重要事项。在下载及使用保安软件或工具前,请细阅相关的用户协议和私隐政策。

回页顶