預防勒索軟件
最新消息:
為防禦 Petrwrap 及 WannaCry 勒索軟件攻擊大規模擴散,請立即採取以下行動:
- 把重要資料備份和不要把備份資料連接電腦;
- 為所有 Windows 系統安裝最新的保安修補程式;
https://news.microsoft.com/zh-hk/2017/05/13/ransomware-awareness-and-actions-needed/ - 封鎖 SMB 通訊埠 ( TCP 139 和 445 通訊埠 ) 以阻擋互聯網接達;
- 保持電腦系統的抗惡意程式碼軟件及其識別碼至最新版本;及
- 提防可疑的電郵和網站,以及不要開啓來歷不明的附件及超連結。
在網上傳送或儲存資料時,我們往往會使用加密技術把資料加密,以減低資料外泄的風險。可是,電腦罪犯卻利用這種加密技術作網絡攻擊。最近,勒索軟件在全球有蔓延趨勢,透過電郵及被入侵的網站快速散播,情況備受關注。
勒索軟件是一種惡意軟件。電腦罪犯會利用這種軟件把受感染電腦裝置內的檔案加密。這些被加密的檔案就好像人質一樣,受害人如要取回這些資料,便需按照勒索軟件的指示繳付「贖金」,才可把檔案解密。
有效預防勒索軟件的保安貼士
- 經常把重要資料備份和不要把備份資料連接電腦
- 為使用中的軟件安裝最新的修補程式
- 檢查及更新抗惡意程式碼軟件及識別碼至最新版本
- 定期全面掃描電腦,以偵測及防預惡意軟件攻擊
- 停止或限制使用電腦系統內所有不必要的服務及功能
- 不要開啓可疑的電郵及即時短訊,或當中的附件和超連結
- 不要瀏覽可疑網站,亦不要從可疑網站下載任何檔案
受勒索軟件感染的原因和影響
受感染的原因
- 開啓可疑電郵或當中的附件及超連結
- 瀏覽包含惡意程式的網站
- 下載及安裝包含勒索軟件的軟件或流動應用程式
受感染的影響
- 受感染的電腦裝置及該電腦所接駁的其他儲存裝置內的檔案會被加密。除非已適時進行備份,否則可能會損失這些數據。
電腦裝置受勒索軟件感染的熒幕截圖
以下的熒幕截圖顯示電腦受某種勒索軟件感染的過程。不同的勒索軟件會有不同的感染模式。
預防措施
- 經常把重要資料備份和不要把備份資料連接電腦
- 為使用中的軟件安裝最新的修補程式
- 檢查及更新抗惡意程式碼軟件及識別碼至最新版本
- 定期全面掃描電腦,以偵測及防預惡意軟件攻擊
- 停止或限制使用電腦系統內所有不必要的服務及功能
- 不要開啓可疑的電郵及即時短訊,或當中的附件和超連結
- 不要瀏覽可疑網站,亦不要從可疑網站下載任何檔案
- 只安裝來源可靠的軟件和流動應用程式,如有可疑的權限要求,切勿安裝
- 對於受惡意軟件感染風險較高的業務運作,例如處理客戶查詢電郵,應安排一部沒有網路磁碟機及只限接駁至內部網絡的專用電腦,以盡量減低受感染的風險,而負責的員工亦要提高警覺,提防潛在的感染。
抗惡意程式碼保安軟件
受到感染後應如何處理?
- 切斷受感染電腦的網絡連線,以免影響網絡磁碟機及其他電腦
- 關上電腦的電源,防止勒索軟件把電腦內更多檔案加密
- 記下你在發現有關事件前曾經進行的電腦操作,例如使用過的程式和檔案、開啓過的電郵及瀏覽過的網站
- 向香港警務處舉報有關罪行
- 從備份復原數據至未受感染的電腦裝置
- 查閱是否有參考工具修復被勤索軟件加密的檔案
修復加密檔案的參考工具
| 勒索軟件名稱 | 副檔案名稱 | 其他症狀 | 參考工具 |
|---|---|---|---|
| Jaff |
.jaff .wlu .sVn |
<NA> | |
| 777 / Democry | .777 | <不適用> | |
|
Agent.iih Aura Autoit Bitman Chimera Cryptokluchen Democry Jigsaw Mircop Lamer Libra Lobzik Pletor Rakhni Rotor SIL.Lortok |
_crypt ._date-time_$address@domain$.777 ._date-time_$address@domain$.legion .AES256 .AFD .chifrator@qq_com .btc .coderksu@gmail_com_id20 .coderksu@gmail_com_id371 .coderksu@gmail_com_id372 .coderksu@gmail_com_id374 .coderksu@gmail_com_id375 .coderksu@gmail_com_id376 .coderksu@gmail_com_id392 .coderksu@gmail_com_id357 .coderksu@gmail_com_id356 .coderksu@gmail_com_id358 .coderksu@gmail_com_id359 .coderksu@gmail_com_id360 .cry.crypt@india.com.random_characters .crypto .darkness .dyatel@qq_com .enc .encrypted .epic .fun .gruzin@qq_com .gws .helpdecrypt@ukr.net .J .kraken .locked .micro .nalog@qq_com .nochance .oplata@qq_com .oshit .paybtcs .paymds .paymrss .paymrts .paymst .payrms .payransom .porno .pornoransom .pizda@qq_com .relock@qq_com .troyancoder@qq_com .ttt .SecureCrypted .xxx hb15 |
<不適用> | |
| Al-Namrood |
.unavailable .disappeared |
勒索軟件留下“.Read_Me.Txt” 的檔案,當中通知受害人聯絡以下電郵地址decryptioncompany@inbox.ru fabianwosar@mail.ru |
|
| Alcatraz Locker |
.Alcatraz |
勒索軟件留下 “ransomed.html” 的檔案 | |
| AlphaCrypt 0.x | <不適用> | 勒索軟件留下 “HELP_TO_SAVE_FILES.txt”及 “HELP_TO_SAVE_FILES.bmp” 的檔案 | |
| Apocalpse |
.encrypted .Encryptedfile .FuckYourData .locked .SecureCrypted |
勒索軟件留下 “.How_To_Decrypt.txt” 或 ".Contact_Here_To_Recover_Your_Files.txt” 的檔案,當中通知受害人聯絡以下電郵地址 decryptionservice@mail.ru recoveryhelp@bk.ru decryptdata@inbox.ru |
|
| AutoLocky | .Locky | 勒索軟件留下 “info.txt” 或 “info.html” 的檔案 | |
| Autolt | <原本檔案名稱>@<電郵伺服器名稱>_.<一組隨機英文字母> | <不適用> | |
| BadBlock | <副檔案名稱不變> | 桌面背景被更換成勒索訊息及桌面會有一個名為”Help Decrypt.html”的檔案,說明該電腦感染該名稱的勒索軟件 的檔案,說明該電腦感染該名稱的勒索軟件 | |
| Bart | .bart.zip | 桌面背景被更換及桌面會有“recover.bmp” 及 “recover.txt” 的檔案 | |
| Bitcryptor | <不適用> | 勒索軟件聲稱為 “Bitcryptor” | |
| CoinVault | <不適用> | 勒索軟件通知受害人聯絡以下電郵地址 coinvault@openmailbox.org |
|
| Cerber V1 | .cerber | 勒索軟件留下“#DECRYPT MY FILES#.txt”, “#DECRYPT MY FILES#.html” 及 “#DECRYPT MY FILES#.vbs” 的檔案 | |
| Cryaki | CRYPTENDBLACKDC | <不適用> | |
| CrypBoss | .crypt .R16M01D05 |
勒索軟件通知受害人聯絡有 “@dr.com” 的電郵地址 | |
| Crypt888 / Mircop | Lock.<原本檔案名稱> | 桌面背景被更換成勒索訊息 | |
| CryptInfinite | .CRINF | <不適用> | |
| CryptoDefense | <不適用> | 勒索軟件留下“HOW_DECRYPT.txt” 的檔案 | |
| CryptXXX V1 | .crypt .crypz .cryp1 5位十六進制字母 |
<不適用> | |
| CryptXXX V2 | .crypt .crypz .cryp1 5位十六進制字母 |
<不適用> | |
| CryptXXX V3 | .crypt .crypz .cryp1 5位十六進制字母 |
<不適用> | |
| CrySiS |
.johnycryptor@hackermail.com.xtbl, .ecovector2@aol.com.xtbl, .systemdown@india.com.xtbl, .Vegclass@aol.com.xtbl, .{milarepa.lotos@aol.com}.CrySiS, .{Greg_blood@india.com}.xtbl, .{savepanda@india.com}.xtbl, .{arzamass7@163.com}.xtbl |
勒索軟件留下 “Decryption instructions.txt”, ” Decryptions instructions.txt” 或 ”README.txt” 的檔案 | |
| DMALocker | <副檔案名稱不變> | 勒索軟件聲稱為 “DMA Locker” 及受害人的 ID 為 "DMALOCK 41:55:16:13:51:76:67:99" | |
| DMALocker2 | <副檔案名稱不變> | 勒索軟件聲稱為 “DMA Locker” 及受害人的 ID 為 "DMALOCK 43:41:90:35:25:13:61:92" | |
| Fabiansomware | .encrypted | 勒索軟件留下 “.How_To_Decrypt_Your_Files.txt” 的檔案,當中通知受害人聯絡以下電郵地址decryptioncompany@inbox.ru fwosar@mail.ru fabianwosar@mail.ru |
|
| FenixLocker | .centrumfr@india.com!! | 勒索軟件留下"CryptoLocker.txt"或"Help to decrypt.txt" 的檔案 | |
| Gomasom | .crypt | 受影響檔案名稱付有聯絡電郵 | |
| Globe |
.ACRYPT .blackblock .decrypt2017 .dll555 .duhust .exploit .frozen .globe .gsupport .GSupport[0-9] .hnumkhotep .kyra .purged .rald[0-9] .siri-down@India.com .xtbl .zendrz .zendr[0-9] .hnyear |
勒索軟件留下"How to restore files.hta" 或"Read Me Please.hta" 的檔案 | |
| Harasom | .html | 勒索軟件聲稱來自Spamhaus 或 the US Department of Justice. | |
| HiddenTear |
.암호화됨 .34xxx .8lock8 .bloccato .BUGSECCCC .CAZZO .doomed .flyper .fucked .Hollycrypt .kratos .krypted .lock .locked .lok .mecpt .monstro .razy .saeld .unlockIt |
勒索軟件留下 "READ_IT.txt”, “MSG_FROM_SITULA.txt” 及 “DECRYPT_YOUR_FILES.HTML” 的檔案 |
|
| HydraCrypt | .hydracrypt .umbrecrypt |
<不適用> | |
| KeyBTC | <不適用> | 勒索軟件留下 “DECRYPT_YOUR_FILES.txt”的檔案,當中通知受害人聯絡以下電郵地址keybtc@inbox.com | |
| LeChiffre | .LeChiffre | 勒索軟件通知受害人聯絡以下電郵地址decrypt.my.files@gmail.com via email. | |
| Legion | A variant of ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion Or .$centurion_legion@aol.com$.cbf |
桌面背景被更換成勒索訊息 | |
| Malboro | .oops | 勒索軟件留下“HELP_Recover_Files_.html” 的檔案 | |
| MarsJoke Polygot | <No Change> | 桌面背景被更換成勒索訊息 | |
| MRCR / Merry X-mas |
.PEGS1 .MRCR1" .RARE1 .MERRY .RMCM1 |
勒索軟件留下 "YOUR_FILES_ARE_DEAD.HTA" 或"MERRY_I_LOVE_YOU_BRUCE.HTA" 的檔案,當中通知受害人聯絡以下電郵地址comodosec@yandex.ru或使用即時通訊程式Telegram聯絡 “comodosecurity” |
|
| Nemucod | .crypted | 勒索軟件留下 “DECRYPT.txt” 的檔案 | |
| NMoreira |
.__AiraCropEncrypted! .maktub |
勒索軟件留下“Recupere seus arquivos. Leia-me!.txt” 或“How to decrypt your files.txt” 的檔案 | |
| NoobCrypt | <No Change> | 勒索軟件留下“Recupere seus arquivos. Leia-me!.txt” 或“How to decrypt your files.txt” 的檔案 | |
| OzozaLocker | .locked | 勒索軟件留下”HOW TO DECRYPT YOU FILES.txt” ,當嘗試開啟加密檔案後會彈出勒索訊息視窗 | |
| OpenToYouDecrypt | .-opentoyou@india.com | 勒索軟件留下 “!!!.txt”的檔案 | |
| PClock | <副檔案名稱不變> | 勒索軟件聲稱為 “CryptoLocker” 及會留下一個名為 “enc_files.txt” 的檔案 | |
| Philadelphia | .locked | 彈出勒索訊息視窗 | |
| Radamant | .rdm .rrk |
<不適用> | |
| Rannoh | locked-<原本檔案名稱>.<4位隨機英文字母> | ||
| Shade |
.7h9r .better_call_saul .breaking_bad .da_vinci_code .heisenberg. .no_more_ransom .windows10 .xtbl .ytbl |
勒索軟件留下 “README.txt” 的檔案,當中通知受害人聯絡檔案中的電郵地址 | |
| SNSLocker | .RSNSLocked | <不適用> | |
| Stampado | .locked | 彈出勒索訊息視窗 | |
| SZFLocker | .szf | 嘗試開啟加密檔案後彈出勒索訊息視窗 | |
| TeslaCrypt V1 | .ECC | <不適用> | |
| TeslaCrypt V2 | .AAA .ABC .CCC .VVV .XYZ .ZZZ |
<不適用> | |
| TeslaCrypt V3 | .TTT .XXX .MICRO .MP3 |
<不適用> | |
| TeslaCrypt V4 | <副檔案名稱不變> | <不適用> | |
| Wildfire Locker | .wflx | 彈出勒索訊息視窗 | |
| Xorbat | .crypted | <不適用> | |
| Xorist Vandev |
.XORIST .EnCiPhErEd .0JELvV .p5tkjw .6FKR8d .UslJ6m .n1wLp0 .5vypSa .YNhlv1 |
勒索軟件留下 “HOW TO DECRYPT FILES.txt” 及 “CryptLogFile.txt” 的檔案 |
影片
資訊圖表
推廣活動
活動預告
昔日活動
| 日期 | 活動名稱 | 主辦機構 |
|---|---|---|
| 20 / 06 / 2016 | 中小企網絡安全研討會 勒索軟件襲港 網絡安全你要知 |
|
| 31 / 05 / 2016 | 共建安全網絡2016 - 「防禦勒索軟件 做好數據保護」研討會 |
|
| 30 / 05 / 2016 | Cyber Security Conference 2016 cum Formation of Cyber Security Alliance |
|
| 19 / 04 / 2016 | 學校資訊保安講座:加密勒索軟件 ~ 防範、數據保障與解決方案 |
|
| 22 / 03 / 2016 | 學校資訊保安講座:加密勒索軟件 ~ 危害、影響與解決? |
|
延伸閱讀及其他資源
-
網絡安全資訊站 專家的話 - 一封電郵令旅行相、BB相全部「被加密」?
-
網絡安全資訊站 - 安全中心 保護我的電腦和流動裝置
-
網絡安全資訊站 - 學習天地 提防遭受惡意軟件感染
-
資訊安全網 - 電腦病毒與惡意程式碼的類型及保護步驟
-
資訊安全網 - 一般最佳作業實務
-
香港警務處 - 勒索軟件
-
香港電腦保安事故協調中心 - 保安博錄 提防加密勒索軟件
-
SingCERT - 勒索軟件 (只有英文版)
-
US-CERT - Alert (TA16-091A) Ransomware and Recent Variants (只有英文版)
免責聲明:用戶亦應留意網絡安全資訊站中的重要事項。在下載及使用保安軟件或工具前,請細閱相關的用戶協議和私隱政策。
