因為在工作上有接觸到這類的病毒
所以跟大家分享一些我知道的資訊
1. 我是怎麼感染到這類加密型勒索病毒(CryptoRansomware)?
目前比較常見的散播途徑主要是
垃圾郵件 (SPAM) 和 攻擊套件包 (Exploit Kit)
但在台灣透過垃圾郵件來進行散播這類病毒還很少看到
我相信目前大部分的人應該也不是在收信以後才被加密的
所以感染途徑應該都是由隱藏在廣告內的攻擊套件包連結導致的
所謂的攻擊套件包攻擊,簡單來說,就是透過 網頁 來進行攻擊
套件包主要鎖定沒有更新的 Flash、PDF、Java、IE 等
程式內的漏洞來進行攻擊,藉此控制電腦下載病毒執行
從去年開始,這類的套件包網頁連結開始被藏在廣告當中
使用者只要顯示到廣告就會在你看不到的位置,偷連到套件包網頁
過程都是自動的,所以大家即使上一般的網站都有機會被攻擊
例如Crypt0l0cker請參考
http://goo.gl/Tma8qr
或是CryptoWall請參考
http://goo.gl/uIPRBx
2. 被病毒加密了之後,還有沒有機會解密?
這類病毒使用的RSA+AES加密框架,對於一般個人電腦來說
可以說是沒有機會自己解密的
而目前防毒廠商為什麼能夠提供解密工具,我自己知道是
因為病毒作者被逮捕,所以病毒的鑰匙被找到後公開
如最早的CryptoLocker
或是病毒實際上並不是用真的RSA+AES非對稱加密 (雖然它說是)
例如TeslaCrypt
除此之外,感染之後,除了付錢,真的很難救回檔案
3. 應該怎麼防範這類攻擊套件包的攻擊?
更新! 更新能讓你的電腦更安全,也是目前最推薦的方法
對方的攻擊對象包含Windows、IE、Flash、PDF Reader、Java、SilverLight
最好當更新一釋出之後能夠馬上更新這些程式
尤其是Flash最好能在更新出來的三天內馬上更新,原因請看 附錄1
另外有人說Windows 8不會感染,我自己實驗8.1的結果是會感染的
所以即使是使用比較新的Windows還是要記得更新!
另外我個人推薦安裝Microsoft EMET,它可以一定程度的讓你的電腦
更難被攻擊穿透下載病毒,他是微軟推出的保護軟體,而且是免費的
大家都可以裝,EMET請參考 附錄2
如果有使用防毒軟體的話,建議除了能夠掃描檔案以外
最好也要能夠有過濾URL的功能
因為目前的攻擊套件包已經能夠在不寫入硬碟/檔案系統的情況下
直接將下載的病毒在記憶體內執行起來
所以只能夠掃描檔案的防毒軟體,即使有病毒碼
可能也阻擋不到真正的病毒,細節請參考 附錄3
附錄1: https://goo.gl/y8n0Ep
附錄2: https://goo.gl/3rQHjP
附錄3: https://goo.gl/2zjhf1