學習天地：預防勒索軟件 | 網絡安全資訊站

受感染的原因

• 開啓可疑電郵或當中的附件及超連結
• 瀏覽包含惡意程式的網站
• 下載及安裝包含勒索軟件的軟件或流動應用程式

受感染的影響

• 受感染的電腦裝置及該電腦所接駁的其他儲存裝置內的檔案會被鎖上。除非已適時進行備份，否則可能會損失這些數據。

以下的螢幕截圖顯示電腦受某種勒索軟件感染的過程。不同的勒索軟件會有不同的感染模式。

第1步：電腦在未受勒索軟件感染前的檔案（有已知副檔名）

第2步：用戶開啓包含勒索軟件的程式

第3步：勒索軟件開始把電腦裝置內的檔案加密

第4步：所有文件、相片和媒體檔案被勒索軟件加密

第5步：勒索軟件建立文字檔，通知用戶檔案已被加密

第6步：勒索軟件並建立圖形檔案，通知用戶檔案已被加密

第7步：最後桌面背景圖象被更換

• 定期把重要資料備份和不要把備份資料連接電腦
• 為使用中的作業系統及軟件安裝最新的修補程式
• 於所有系統及服務應用最少特權原則
• 更新抗惡意程式碼軟件及識別碼至最新版本
• 啟用防火牆保護
• 定期全面掃描電腦，以偵測及防預惡意軟件攻擊
• 停止或限制使用電腦系統內所有不必要的服務及功能，例如遠端桌面服務 (RDP)
• 封鎖 SMB 通訊埠 ( TCP 139 和 445 通訊埠 ) 以阻擋互聯網接達;
• 關閉 Microsoft Word 、 Excel 或其他辦公室軟件內的預設巨集功能
• 不要開啓可疑的電郵及即時短訊，或當中的附件和超連結
• 不要瀏覽可疑網站，亦不要從可疑網站下載任何檔案
• 只安裝來源可靠的軟件和流動應用程式，如有可疑的權限要求，切勿安裝
• 對於受惡意軟件感染風險較高的業務運作，例如處理客戶查詢電郵，應安排一部沒有網路磁碟機及只限接駁至內部網絡的專用電腦，以盡量減低受感染的風險，而負責的員工亦要提高警覺，提防潛在的感染。

• Windows 用戶
• Mac OS 用戶
• Android 用戶
• iOS 用戶

• 切斷受感染電腦的網絡連線，以免影響網絡磁碟機及其他電腦
• 關上電腦的電源，防止勒索軟件把電腦內更多檔案加密
• 記下你在發現有關事件前曾經進行的電腦操作，例如使用過的程式和檔案、開啓過的電郵及瀏覽過的網站
• 向香港警務處舉報有關科技罪行
• 從備份復原數據至未受感染的電腦裝置

除了以下參考工具，用戶還可以到「拒絕勒索軟件(No More Ransom)計劃」及ID Ransomware (一個幫助受害者識別有機會是哪一個勒索軟件加密了他們的文件的免費網站)，以查看是否有就加密檔案的修復方案。

• Avast 免費勒索軟體解密工具
• AVG 免費勒索軟體解密工具
• Cisco Talos TeslaCrypt Decryption Tool
• Emsisoft Decrypter
• Kaspersky 免费勒索软件解密器
• McAfee 防惡意軟體工具, 加密工具
• Trend Micro Ransomware File Decryptor

昔日活動

• 網絡安全資訊站 - 學習天地 提防遭受惡意軟件感染
  
  
• 網絡安全資訊站 專家的話 - 一封電郵令旅行相、BB相全部「被加密」？
  
  
• 香港電腦保安事故協調中心 - 齊抗勒索軟件
  
  
• 香港電腦保安事故協調中心 - 保安博錄 提防加密勒索軟件
  
  
• 香港警務處 - 「守網者」計劃
  
  
• 香港警務處 - 電腦勒索軟件攻擊
  
  
• 資訊安全網 - 防範惡意軟件
  
  
• 資訊安全網 - 惡意軟件
  
  
• SingCERT - Protect Your Systems and Data From Ransomware Attacks (只有英文版)
  
  
• 「拒絕勒索軟件(No More Ransom)計劃」
  
  
• US-CERT - DarkSide Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks (只有英文版)