[資安通知] 預防檔案加密勒索病毒 TorrentLocker 及 Crypt0L0cker

前言

【暫時置頂】如果你自認你的資料超級重要，卻又不肯離線備份，還會用工作電腦去亂逛些網站，又不肯更新作業系統，還喜歡亂點郵件裡的超連結的話，那你真的要付錢救檔案時，可以參考一下這篇，瞭解一下殺價跟付款、解鎖的過程：電腦安全 - 中了勒索病毒(Ransomware)，支付贖金成功解密過程~圖文說明 - 電腦討論區 - Mobile01行動版

重要通知（2017.05.01）：如果你是用 Windows 7，還在 4/23 到 5/1 間，上過 eyny（伊莉）的話，那你應該有中新的勒索病毒了，請先找找系統中有沒有 update64.exe、acnom.exe（Zemana AntiMalware 能掃到）、regdrv.exe（同前）、wuauser.exe（AntiVir 能掃到）、msiexev.exe（同前）等會吃光你 CPU 的不明程式，真的有中毒的話，請重灌，不要救了，因為目前沒有徹底殺光新病毒包的方式。
還沒中獎的話，先去更新 Windows 再說，這次是作業系統漏洞，所有跟內建的 SMB 網路芳鄰（攻擊程式會針對實體 IP 掃瞄 Port 445 試圖入侵），以及遠端桌面（RDP：Remote Desktop Protocol）有關的東西都有漏洞，所以基本上中招後，你的電腦就可以被安裝任何東西，包含比特幣挖礦機。（相關更新都是安全性更新，如： 2015/08/11 的 KB3019978 跟 KB3075220，四月總更新的 KB4015549 也要記得裝）
（參考資料：Re: [心得] 兩天內家裡兩台電腦都被勒索 - 看板 AntiVirus - 批踢踢實業坊）
單純想嚇嚇自己的話，在「開始 → 執行 → cmd」裡，輸入「netstat -an | findstr 445」，就可以自己嚇自己了。

【置頂】查詢你註冊用的信箱有沒有被盜密碼過：Have I been pwned? Check if your email has been compromised in a data breach

【置頂】舊版解鎖軟體：遇上加密勒索別擔心，趨勢科技免費釋出勒索軟體解密工具 | iThome

重要通知（2016.06.19）：Flash 6/16 出了 22.0.0.192 更新，請盡快安裝。Amenaka Isima - ●看到此文章請趕快更新你的瀏覽器的FLASH，非常重要●... | Facebook

重要通知（2016.06.05）：勒索病毒可能會對 7-Zip 造成傷害，請升級到 16.02 版以上。7-Zip 繁體中文版官方網站

重要通知（2016.05.12）：最近好像有新的感染途徑，防毒軟體抓不到病毒檔，建議是異地備份至少兩份（備份到其他平常不會連接的硬碟上，或是用 dropbox / Google Drive / OneDrive 自動同步更新重要文件），還有開啟 Windows 的系統還原功能，或是乾脆換用 Mac OS X 跟 linux distro 來躲攻擊 Windows 的病毒。

重要通知（2016.02.18）：因為有一部分的勒索軟體的原始碼流出，所以如果你很幸運，剛好是被同樣演算法的軟體攻擊，那可以試試能否解開。詳細請參考：CrypBoss、HydraCrypt、UmbreCrypt等勒索軟體已成功「破解」 | T客邦 - 我只推薦好東西

重要通知（2015.12.11）：有人寫了一個反制勒索軟體的程式，雖然不是完美的，但只要病毒沒更新，那這方法就有一定效用，可以當成一個切入點，懂程式設計的，可以自行修改看看。（參考：[閒聊] 綁架病毒對策：簡易監控小腳本 - 看板 C_Chat - 批踢踢實業坊）

微微更新（2015.11.17）：
豬隊友的故事，基本上要用 Flash 的，就改用 Google Chrome 瀏覽器開，IE 跟 Firefox 等的，都別裝 Flash 跟 Adobe PDF Reader 等的 Adobe 產品（甲骨文 SUN JAVA 記得開自動更新），信箱一律使用 Gmail 等有過濾病毒功能的網路信箱來收，作業系統安全更新全裝上去，就可以自行避開危險。（擔任資訊要職的人，務必要比別人多一份警惕心。 - 資安小故事 By 靠北工程師 | Facebook）

微更新（2015.11.08）：
Linux 網站管理者被勒索，可預期的發展，不過好像沒說明怎麼攻擊成功的，各位伺服器系統管理者請自己小心各種安全漏洞。（Linux Ransomware Is Now Attacking Webmasters | TechCrunch）

重要通知（2015.07.14）：
Flash Player 請升級到『18.0.0.209』版以上，瀏覽器也要記得更新到最新版。

更新通知（2015.06.16）：
Flash Player 出了 18 版，不過安裝後，17 版的還是會存在，請上 Adobe 官網，下載他們的「uninstaller」程式來移除。（Uninstall Flash Player | Windows，裡面有個超連結文字的 uninstaller 就是該程式）

重要通知（2015.05.13）：
Flash Player 請升級到『17.0.0.188』版以上，瀏覽器也要記得更新到最新版。

裝的軟體越多，會受到的攻擊風險也越大，Windows 的「安全性更新」請務必要馬上安裝好。

然後已經中毒的就沒救了，認命跑系統還原先試試吧，不過絕對不要付錢給勒索者。

簡述重點：
一、開你的瀏覽器，看看用了哪些外掛程式。
二、把那些外掛程式全更新到最新版。

（2015.05.03 更新：Linux 系的也會中獎，這是攻擊外掛程式的漏洞，做的事也是正常操作行為，只是很少人會想特地寫 Linux 系的來勒索，不過如果你的 NAS 是 Linux 系的，這病毒可能會去感染區網上的所有電腦，所以最好把你上網的那台，相關外掛程式給更新到最新狀態。Android 系手機的話，聽說也有災情，不過僅止於聽說倒是）

搜尋用關鍵字：TorLocker TorrentLocker CryptoLocker CryptoWall TeslaCrypt 敲詐者病毒 SynoLocker Synology NAS 勒索軟體 ransomware

檢查更新

以下四種軟體，請務必確認已經安裝到最新版。

另外 Windows 系統更新請把「安全性更新」項目全裝上重開，XP 因為剛好在四月停止服務，所以沒辦法靠系統更新防這問題，建議升級到 Windows 7。（要檢查系統更新，請在資料夾網址列輸入 控制台\系統及安全性\Windows Update 後按 Enter）

另外瀏覽器也要全部更新到最新版，目前似乎有使用 Google Chrome 也中獎的例子。

• 【JAVA】驗證 Java 版本
• 【Flash】Adobe - Flash Player（※註：McAfee Security Scan Plus 非必要安裝項目）
• 【PDF】Adobe Acrobat Reader DC 下載 | Windows、Mac OS、Android 適用的免費 PDF 檢視器（※註：McAfee Security Scan Plus 非必要安裝項目）
• 【Silverlight】Get Silverlight | Microsoft Silverlight

利用瀏覽器檢查外掛程式更新

• 【Firefox】快速檢查一下，讓您的 Firefox 保持健康 — Mozilla

檢查感染

這病毒有潛伏期，不會馬上就讓你發現你的檔案被綁票了，所以只能先用搜尋軟體，找一下有沒有含「 encrypted 」這關鍵字的檔案先，有看到的話，就先去安全模式下，想辦法挖出有問題的執行檔砍掉先。（原則上看到桌面上有被加密的檔案時，就已經沒救了）

中獎者電腦可能會含有的檔案（沒搜到這些檔案的話，就先備份硬碟資料先）：

• HELP_TO_SAVE_FILES.txt
• HELP_RESTORE_FILES.txt
• DECRYPT_INSTRUCTIONS
• RECOVERY_FILE.txt
• .encrypted
• .ezz
• .ecc

逆向思考全壘打之改副檔名逃感染（05.13更新）

因為這病毒只會優先攻擊文件、圖片、影音資料，所以把覺得重要的檔案，副檔名砍掉，應該就不必擔心被感染到重要檔案了（理論上來說），當然作業系統和外掛程式還是要記得更新。

自力救援

這個勒索型惡意程式，雖然會把你的檔案加密，要求贖金，不過基本上不是那麼萬能，各位可以朝以下方向，試看看能不能救回檔案。

• 系統還原：新版 Windows 都會預設開啟定期備份，試試看有沒有辦法還原，還原完記得也要去更新有漏洞的程式。

• 檔案救援：因為檔案原則上一定要經過「刪除」的動作，所以試用磁碟檔案救援軟體，應該有機會撈到原先沒被感染的檔案。（不過前提是你本來就有裝好了，不然中獎後才來安裝，磁區資料被覆蓋過去的話，救回的機率也很低）

檔案救援軟體

• 【R-Studio】Disk Recovery Software and Hard Drive Recovery tool for Windows, Mac, and Linux
• 【UndeletePlus】eSupport UndeletePlus - Easily undelete, unerase, and recover deleted files
• 【Recuva】Recuva - Undelete, Unerase, File and Disk Recovery - Free Download
• 【BadCopy】BadCopy Pro - Flash Drive, Floppy Disk, CD/DVD and Digital Media Data Recovery Software

其他須知

• 開電子郵件附件時小心是不是偽裝檔名的 exe 執行檔
• 不要亂下載什麼「○○空間下載器」之類的程式
• WinXP 早點升級到 Win7
• 拔網路線、關 Wifi 無線連線（如果已經中毒的電腦沒必要連線的話，就別讓它繼續連線跑檔案加密，也別讓它感染其他電腦）

防毒軟體

如果你對 Microsoft 自家的 MSE 防毒信心缺缺（不過至少記得開一下你的系統防火牆 → 控制台\系統及安全性\Windows 防火牆），那可以試試以下的免費防毒軟體。

• 【BD FREE】Free Antivirus Software - Download Bitdefender Antivirus Free

其他防毒

單純想掃完毒就砍的話，可以試試下面的試用版。

• 【NOD32】ESET - 防毒軟體與間諜和程式保護 - 台灣官方網站
• 【卡巴司機】Utilities - Kaspersky Lab | Antivirus Protection & Internet Security Software

參考資料

• 勒索軟體又來了！這次更本土化 | iThome
• 勒索軟體有新變種，鎖定群暉NAS綁架網路硬碟資料 | iThome
• 藤小二電腦病毒發報-關於2015年四月超棘手的Crypt0L0cker病毒，勒索軟體，所有檔案都被解密。目前無解，只能重灌！(2015/4/26) @ 藤小二電腦修配坊 :: 痞客邦 PIXNET ::
• Crypt0L0cker（偽CryptoLocker）ファイル暗号化ランサムウェアウイルス感染被害 - Let's Emu!
• 入侵預防系統 - 維基百科，自由的百科全書
• TorrentLocker 勒索軟體肆虐紐澳地區 | 網路安全趨勢
• 【問題】大家最近小心這個cryptolocker病毒 很無恥（5/2更新） @電腦應用綜合討論 哈啦板 - 巴哈姆特
• 勒索軟體CryptoLocker大舉入侵，企業陷檔案滅亡危機 | iThome

補充說明

我不知道為什麼有些網站，教的解法是「乖乖付款」，但只要你一付款，你就是認同了這種行為可以繼續存在，進而去殘害別人，那些勒索者會很高興你讓他們可以躺著就有錢賺的。（而且基本上付款也不保證你就能解開檔案）