跳至主要內容

預防勒索軟件


為防禦勒索軟件攻擊,請立即採取以下行動:

  1. 定期把重要資料備份和不要把備份資料連接電腦;
  2. 為所有電腦系統安裝最新的保安修補程式;
  3. 除非實施了例如啟用Windows防火牆以及使用多重身分認證等的附加保護措施,否則應封鎖從互聯網接達的遠端桌面服務 (RDP);
  4. 封鎖 SMB 通訊埠 ( TCP 139 和 445 通訊埠 ) 以阻擋互聯網接達;
  5. 保持電腦系統的抗惡意程式碼軟件及其識別碼至最新版本;及
  6. 提防可疑的電郵和網站,以及不要開啓來歷不明的附件及超連結。


拒絕勒索軟件計劃

勒索軟件是一種惡意軟件。電腦罪犯會利用這種軟件把受感染電腦裝置內的檔案鎖上。這些被鎖的檔案就好像人質一樣,受害人如要取回這些資料,便需按照勒索軟件的指示繳付「贖金」,才可把檔案解鎖。

有效預防勒索軟件的保安貼士


  1. 定期把重要資料備份和不要把備份資料連接電腦
  2. 為使用中的軟件安裝最新的修補程式
  3. 檢查及更新抗惡意程式碼軟件及識別碼至最新版本
  4. 定期全面掃描電腦,以偵測及防預惡意軟件攻擊
  5. 停止或限制使用電腦系統內所有不必要的服務及功能
  6. 不要開啓可疑的電郵及即時短訊,或當中的附件和超連結
  7. 不要瀏覽可疑網站,亦不要從可疑網站下載任何檔案
  1. 原因和影響原因和影響
  2. 受勒索軟件感染的熒幕截圖受勒索軟件感染的熒幕截圖
  3. 預防措施預防措施
  4. 受到感染後應如何處理?受到感染後應如何處理?
  5. 修復加密檔案的參考工具修復加密檔案的參考工具
  6. 影片影片
  7. 資訊圖表資訊圖表
  8. 推廣活動推廣活動
  9. 延伸閱讀延伸閱讀

受勒索軟件感染的原因和影響

受感染的原因

  • 開啓可疑電郵或當中的附件及超連結
  • 瀏覽包含惡意程式的網站
  • 下載及安裝包含勒索軟件的軟件或流動應用程式

受感染的影響

  • 受感染的電腦裝置及該電腦所接駁的其他儲存裝置內的檔案會被鎖上。除非已適時進行備份,否則可能會損失這些數據。

電腦裝置受勒索軟件感染的熒幕截圖

以下的熒幕截圖顯示電腦受某種勒索軟件感染的過程。不同的勒索軟件會有不同的感染模式。

第1步:電腦在未受勒索軟件感染前的檔案(有已知副檔名)

第1步:電腦在未受勒索軟件感染前的檔案(有已知副檔名)



第2步:用戶開啓包含勒索軟件的程式

第2步:用戶開啓包含勒索軟件的程式



第3步:勒索軟件開始把電腦裝置內的檔案加密

第3步:勒索軟件開始把電腦裝置內的檔案加密



第4步:所有文件、相片和媒體檔案被勒索軟件加密

第4步:所有文件、相片和媒體檔案被勒索軟件加密



第5步:勒索軟件建立文字檔,通知用戶檔案已被加密

第5步:勒索軟件建立文字檔,通知用戶檔案已被加密



第6步:勒索軟件並建立圖形檔案,通知用戶檔案已被加密

第6步:勒索軟件並建立圖形檔案,通知用戶檔案已被加密



第7步:最後桌面背景圖象被更換

第7步:最後桌面背景圖象被更換



預防措施

  • 定期把重要資料備份和不要把備份資料連接電腦
  • 為使用中的軟件安裝最新的修補程式
  • 檢查及更新抗惡意程式碼軟件及識別碼至最新版本
  • 定期全面掃描電腦,以偵測及防預惡意軟件攻擊
  • 停止或限制使用電腦系統內所有不必要的服務及功能
  • 不要開啓可疑的電郵及即時短訊,或當中的附件和超連結
  • 不要瀏覽可疑網站,亦不要從可疑網站下載任何檔案
  • 只安裝來源可靠的軟件和流動應用程式,如有可疑的權限要求,切勿安裝
  • 對於受惡意軟件感染風險較高的業務運作,例如處理客戶查詢電郵,應安排一部沒有網路磁碟機及只限接駁至內部網絡的專用電腦,以盡量減低受感染的風險,而負責的員工亦要提高警覺,提防潛在的感染。


抗惡意程式碼保安軟件

受到感染後應如何處理?

  • 切斷受感染電腦的網絡連線,以免影響網絡磁碟機及其他電腦
  • 關上電腦的電源,防止勒索軟件把電腦內更多檔案加密
  • 記下你在發現有關事件前曾經進行的電腦操作,例如使用過的程式和檔案、開啓過的電郵及瀏覽過的網站
  • 香港警務處舉報有關罪行
  • 從備份復原數據至未受感染的電腦裝置
  • 查閱是否有參考工具修復被勤索軟件加密的檔案

修復加密檔案的參考工具

除了以下參考工具,用戶還可以到“拒絕勒索軟件(No More Ransom)計劃”網站,以查看是否有就加密檔案的修復方案。

勒索軟件名稱 副檔案名稱 其他症狀 參考工具
Jaff .jaff
.wlu
.sVn
<NA>
777 / Democry .777 <不適用>
Agent.iih Aura
Autoit
Bitman
Chimera
Cryptokluchen
Democry
Jigsaw
Mircop
Lamer
Libra
Lobzik
Pletor
Rakhni
Rotor
SIL.Lortok
_crypt
._date-time_$address@domain$.777
._date-time_$address@domain$.legion
.AES256
.AFD
.chifrator@qq_com
.btc
.coderksu@gmail_com_id20
.coderksu@gmail_com_id371
.coderksu@gmail_com_id372
.coderksu@gmail_com_id374
.coderksu@gmail_com_id375
.coderksu@gmail_com_id376
.coderksu@gmail_com_id392
.coderksu@gmail_com_id357
.coderksu@gmail_com_id356
.coderksu@gmail_com_id358
.coderksu@gmail_com_id359
.coderksu@gmail_com_id360
.cry.crypt@india.com.random_characters
.crypto
.darkness
.dyatel@qq_com
.enc
.encrypted
.epic
.fun
.gruzin@qq_com
.gws
.helpdecrypt@ukr.net
.J
.kraken
.locked
.micro
.nalog@qq_com
.nochance
.oplata@qq_com
.oshit
.paybtcs
.paymds
.paymrss
.paymrts
.paymst
.payrms
.payransom
.porno
.pornoransom
.pizda@qq_com
.relock@qq_com
.troyancoder@qq_com
.ttt
.SecureCrypted
.xxx
hb15
<不適用>
Al-Namrood .unavailable
.disappeared
勒索軟件留下“.Read_Me.Txt”
的檔案,當中通知受害人聯絡以下電郵地址decryptioncompany@inbox.ru
fabianwosar@mail.ru
Alcatraz Locker .Alcatraz
勒索軟件留下 “ransomed.html” 的檔案
AlphaCrypt 0.x <不適用> 勒索軟件留下 “HELP_TO_SAVE_FILES.txt”及 “HELP_TO_SAVE_FILES.bmp” 的檔案
Apocalpse .encrypted
.Encryptedfile
.FuckYourData
.locked
.SecureCrypted
勒索軟件留下 “.How_To_Decrypt.txt” 或
".Contact_Here_To_Recover_Your_Files.txt”
的檔案,當中通知受害人聯絡以下電郵地址 decryptionservice@mail.ru
recoveryhelp@bk.ru
decryptdata@inbox.ru
AutoLocky .Locky 勒索軟件留下 “info.txt” 或 “info.html” 的檔案
Autolt <原本檔案名稱>@<電郵伺服器名稱>_.<一組隨機英文字母> <不適用>
BadBlock <副檔案名稱不變> 桌面背景被更換成勒索訊息及桌面會有一個名為”Help Decrypt.html”的檔案,說明該電腦感染該名稱的勒索軟件 的檔案,說明該電腦感染該名稱的勒索軟件
Bart .bart.zip 桌面背景被更換及桌面會有“recover.bmp” 及 “recover.txt” 的檔案
Bitcryptor <不適用> 勒索軟件聲稱為 “Bitcryptor”
CoinVault <不適用> 勒索軟件通知受害人聯絡以下電郵地址
coinvault@openmailbox.org
Cerber V1 .cerber 勒索軟件留下“#DECRYPT MY FILES#.txt”, “#DECRYPT MY FILES#.html” 及 “#DECRYPT MY FILES#.vbs” 的檔案
Cryaki CRYPTENDBLACKDC <不適用>
CrypBoss .crypt
.R16M01D05
勒索軟件通知受害人聯絡有 “@dr.com” 的電郵地址
Crypt888 / Mircop Lock.<原本檔案名稱> 桌面背景被更換成勒索訊息
CryptInfinite .CRINF <不適用>
CryptoDefense <不適用> 勒索軟件留下“HOW_DECRYPT.txt” 的檔案
CryptXXX V1 .crypt
.crypz
.cryp1
5位十六進制字母
<不適用>
CryptXXX V2 .crypt
.crypz
.cryp1
5位十六進制字母
<不適用>
CryptXXX V3 .crypt
.crypz
.cryp1
5位十六進制字母
<不適用>
CrySiS .johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl
勒索軟件留下 “Decryption instructions.txt”, ” Decryptions instructions.txt” 或 ”README.txt” 的檔案
DMALocker <副檔案名稱不變> 勒索軟件聲稱為 “DMA Locker” 及受害人的 ID 為 "DMALOCK 41:55:16:13:51:76:67:99"
DMALocker2 <副檔案名稱不變> 勒索軟件聲稱為 “DMA Locker” 及受害人的 ID 為 "DMALOCK 43:41:90:35:25:13:61:92"
Fabiansomware .encrypted 勒索軟件留下
“.How_To_Decrypt_Your_Files.txt”
的檔案,當中通知受害人聯絡以下電郵地址decryptioncompany@inbox.ru
fwosar@mail.ru
fabianwosar@mail.ru
FenixLocker .centrumfr@india.com!! 勒索軟件留下"CryptoLocker.txt"或"Help to decrypt.txt" 的檔案
Gomasom .crypt 受影響檔案名稱付有聯絡電郵
Globe .ACRYPT
.blackblock
.decrypt2017
.dll555
.duhust
.exploit
.frozen
.globe
.gsupport
.GSupport[0-9]
.hnumkhotep
.kyra
.purged
.rald[0-9]
.siri-down@India.com
.xtbl
.zendrz
.zendr[0-9]
.hnyear
勒索軟件留下"How to restore files.hta" 或"Read Me Please.hta" 的檔案
Harasom .html 勒索軟件聲稱來自Spamhaus 或 the US Department of Justice.
HiddenTear .암호화됨
.34xxx
.8lock8
.bloccato
.BUGSECCCC
.CAZZO
.doomed
.flyper
.fucked
.Hollycrypt
.kratos
.krypted
.lock
.locked
.lok
.mecpt
.monstro
.razy
.saeld
.unlockIt
勒索軟件留下 "READ_IT.txt”,
“MSG_FROM_SITULA.txt” 及
“DECRYPT_YOUR_FILES.HTML” 的檔案
HydraCrypt .hydracrypt
.umbrecrypt
<不適用>
KeyBTC <不適用> 勒索軟件留下 “DECRYPT_YOUR_FILES.txt”的檔案,當中通知受害人聯絡以下電郵地址keybtc@inbox.com
LeChiffre .LeChiffre 勒索軟件通知受害人聯絡以下電郵地址decrypt.my.files@gmail.com via email.
Legion A variant of
._23-06-2016-20-27-23_$f_tactics@aol.com$.legion
Or
.$centurion_legion@aol.com$.cbf
桌面背景被更換成勒索訊息
Malboro .oops 勒索軟件留下“HELP_Recover_Files_.html” 的檔案
MarsJoke Polygot <No Change> 桌面背景被更換成勒索訊息
MRCR / Merry X-mas .PEGS1
.MRCR1"
.RARE1
.MERRY
.RMCM1
勒索軟件留下
"YOUR_FILES_ARE_DEAD.HTA"
或"MERRY_I_LOVE_YOU_BRUCE.HTA"
的檔案,當中通知受害人聯絡以下電郵地址comodosec@yandex.ru或使用即時通訊程式Telegram聯絡 “comodosecurity”
Nemucod .crypted 勒索軟件留下 “DECRYPT.txt” 的檔案
NMoreira .__AiraCropEncrypted!
.maktub
勒索軟件留下“Recupere seus arquivos. Leia-me!.txt” 或“How to decrypt your files.txt” 的檔案
NoobCrypt <No Change> 勒索軟件留下“Recupere seus arquivos. Leia-me!.txt” 或“How to decrypt your files.txt” 的檔案
OzozaLocker .locked 勒索軟件留下”HOW TO DECRYPT YOU FILES.txt” ,當嘗試開啟加密檔案後會彈出勒索訊息視窗
OpenToYouDecrypt .-opentoyou@india.com 勒索軟件留下 “!!!.txt”的檔案
PClock <副檔案名稱不變> 勒索軟件聲稱為 “CryptoLocker” 及會留下一個名為 “enc_files.txt” 的檔案
Philadelphia .locked 彈出勒索訊息視窗
Radamant .rdm
.rrk
<不適用>
Rannoh locked-<原本檔案名稱>.<4位隨機英文字母>
Shade .7h9r
.better_call_saul
.breaking_bad
.da_vinci_code
.heisenberg.
.no_more_ransom
.windows10
.xtbl
.ytbl
勒索軟件留下 “README.txt” 的檔案,當中通知受害人聯絡檔案中的電郵地址
SNSLocker .RSNSLocked <不適用>
Stampado .locked 彈出勒索訊息視窗
SZFLocker .szf 嘗試開啟加密檔案後彈出勒索訊息視窗
TeslaCrypt V1 .ECC <不適用>
TeslaCrypt V2 .AAA
.ABC
.CCC
.VVV
.XYZ
.ZZZ
<不適用>
TeslaCrypt V3 .TTT
.XXX
.MICRO
.MP3
<不適用>
TeslaCrypt V4 <副檔案名稱不變> <不適用>
Wildfire Locker .wflx 彈出勒索訊息視窗
Xorbat .crypted <不適用>
Xorist
Vandev
.XORIST
.EnCiPhErEd
.0JELvV
.p5tkjw
.6FKR8d
.UslJ6m
.n1wLp0
.5vypSa
.YNhlv1
勒索軟件留下 “HOW TO DECRYPT FILES.txt” 及 “CryptLogFile.txt” 的檔案

影片

勒索軟件
勒索軟件
片長: 2:34
HKPC生產力頻道: 加密勒索軟件襲港 電腦用戶如何自保?
片長: 3:47
香港警務處警察公共關係科 - 勒索軟件出沒注意!
片長: 2:01

資訊圖表

推廣活動

活動

日期 活動名稱 主辦機構

7

05/09/2017 –
04/09/2018
齊抗勒索軟件運動
  • 香港生產力促進局
  • 香港電腦保安事故協調中心
  • 政府資訊科技總監辦公室

6

12 / 09 / 2017
「IT新世代」講座 - 如何避免勒索電腦病毒感染?
  • 香港公共圖書館

昔日活動

日期 活動名稱 主辦機構

5

20 / 06 / 2016
中小企網絡安全研討會 勒索軟件襲港 網絡安全你要知
  • 香港生產力促進局

4

31 / 05 / 2016
共建安全網絡2016 - 「防禦勒索軟件 做好數據保護」研討會

  • 政府資訊科技總監辦公室
  • 香港警務處
  • 香港電腦保安事故協調中心

3

30 / 05 / 2016
Cyber Security Conference 2016 cum Formation of Cyber Security Alliance
  • 香港資訊科技商會

2

19 / 04 / 2016
學校資訊保安講座:加密勒索軟件 ~ 防範、數據保障與解決方案
  • 資訊科技教育領袖協會

1

22 / 03 / 2016
學校資訊保安講座:加密勒索軟件 ~ 危害、影響與解決?
  • 資訊科技教育領袖協會
  • 香港小學電子教育協會

延伸閱讀及其他資源

免責聲明:用戶亦應留意網絡安全資訊站中的重要事項。在下載及使用保安軟件或工具前,請細閱相關的用戶協議和私隱政策。

回頁頂