※ 引述《blink173 (blink183)》之銘言:
: 解開了 100%還原 成功 !!
: 評估了資料價值 還是付了贖金....1.2個比特幣 換算台幣23200 手續費75元
: 然後就順利解開了
: 如果不想花這麼多 可以找板橋資料救援的先生 他BLOG有貼很多成功案例
: 之前的勒索還有這次最新都有 不過他不是用解的 所以能從HD中撈出多少屍體
: 就聽天了
: 錢好痛...
先推b大這篇付贖金的心得分享。
大家都是受害者,我認為應該唾棄的不是付贖金的受害者,
而是利用這種骯髒手段賺人錢財的兇手。
可以理解有些人,不喜歡別人付贖金去養兇手的那種心情,
但對某些人來說,被綁架的是非常非常重要的資料,不管如何都必須去拯救的情況下,
請給他們多點同理心。
沒錯!如果有好好的備份,就不需要走到這一步。
我想付過贖金之後,不管是之前對於備份重要性的無知、還是鐵齒自己不會這麼倒楣,
都會重新認真看待資訊安全這件事。
因為受害者不是自己,所以無法分享個案是如何中cryp1這隻病毒的。
看完版上的討論,仍然無法歸納出一個中毒的規律性。
自己是有使用沙盤來瀏覽風險性網站的習慣,
但對於youtube這類的網站,我還真放心的只用google chrome在瀏覽,
如果這樣也會因為flash還是廣告而中毒,那也真的太恐怖了吧!根本防不勝防!
還好,個人有使用NAS對家中電腦進行每日多版本備份的習慣,
或許這樣的方式可以避免類似加密病毒的傷害。
(中毒了..只要還原到中毒以前的備份就好。)
受害者是朋友公司的電腦,那天我剛好在那邊,一聽到說電腦畫面變奇怪,
我走過去一看,發現encrypted這個字眼,直覺不妙、立馬關機。
隔天早上檢查災情時,
兩個硬碟共5個槽,文件圖片影像音樂檔全部完美加密,一個也沒漏。
朋友根本不懂加密病毒是什麼,花了時間解釋,
他還跟我說這是犯罪吧!警察會抓吧?
再經過一段解釋後,仍然不太相信這個病毒有這麼嚴重,
認為外面一定有技術高強的公司可以破解病毒救回檔案。
朋友親自問了外面店家之後,才明白事情的不可挽回性。
這邊提供一些處理心得給同是cryp1的受害者參考:
(1)你會有一組個人ID,也會看到幾個連結。
當你點入連結、並且輸入個人ID,就會看到兇手給你的訊息。
要你付贖金來解救你的檔案,有清楚的流程、還提供比特幣交易網站的連結。
(但是這些網站大多都不太好用,因為必須審核信用卡正面照片及個人證件照片)
以台灣地區最方便取得比特幣的方法,
一個是上述連結之一的交易網,向台灣會員私下匯款交易購買,
一個就是前篇文章blink173分享的BitoEX網站,全家便利商店代繳購買。
輸入個人ID的同時,會倒數計時100小時,倒數完畢前贖金價格為1.2比特幣,
倒數完畢後價格翻倍。
(若有可能付贖金者,建議別太早輸入個人ID進去!你可以擁有更多遲疑時間。)
(2)兇手會提供一個512kb內檔案的解鎖機會,自由選擇、並將檔案上傳。
可能太多人使用,等了兩天還在waiting階段。
完全無法順利救援該檔案。(兇手本意是要取得受害者信任,他有能力回復你的檔案。)
(3)不付贖金,可以利用硬碟救援軟體,撈出加密前的一些檔案。
個人經驗,handyrecovery分析快、但是能撈出的檔案很少。
RStudioPortable分析慢,但是可以撈出很多檔案,
不過撈出的檔案可能重複3~4份、
且不按照資料夾排列(該磁碟區內相同副檔名的文件通通擺在一起)、
檔名全部數字排列。
雖然可以救援出很多檔案(若該硬碟區的已使用空間比例越低、救援機率就越高),
但是要回覆到先前的完整性及架構性,仍然不理想。
推薦給僅需要救援部分特定檔案的人、或是有很多時間可以去重新整理資料的人。
有些店家具有資料回復能力,其實利用的就是硬碟真實資料尚未抹除的原理。
(4)如果你中的是和我相同的cryp1這隻病毒,朋友的個案付完贖金後,
是有成功解密救回原本的檔案的。(付款後該網頁可以看見解密軟體載點+個人解密鑰)
(不敢說是100%復原,因為我不是該電腦的主人,
但解密後讓朋友看過,目前他還沒發現漏掉什麼檔案。)
※當時我們要付贖金的時候很抖,因為我只有找到一篇國外受害者付贖金救回資料的
經驗分享。那個時候本版尚未有人分享這方面的經驗。
不過我朋友付贖金的心態是,能努力的他都盡量去做,因為資料真的很重要。
即使被騙,他也認了。
※解密運行過程,耗時相當長。1.1TB約耗費20小時左右(I5等級CPU)。
解密的時候,原本的cryp1的檔案不會刪除,因此要小心解密後磁碟區使用容量額滿
的情況發生。最好將使用容量降至50%以下再解密會比較好。
(5)請注意!本點為個人推測!
本病毒"似乎"在桌面出現警告的時候,能加密的檔案都加密了。同時,病毒會自殺,
自此之後,這隻病毒不會再重複感染此電腦。
因為我在C槽下開了一個有內容的word檔,已經三天了都還沒有被加密。
我有接上隨身硬碟,隨身硬碟內的檔案也沒有被加密。
(這些過程都是在付贖金之前測試的)
對於有些人來說,他們只是單純利用電腦進行作業、因為電腦使用技巧跟不上科技進化,
就受害於這樣的病毒,我覺得是太殘忍了些。
最後,還是請大家做好備份!不同步備份、或是多版本備份都可以。
這樣即使不幸中了加密病毒,還能有資料供作復原。
如果沒辦法做好100%防毒、就只好朝中毒後還能救援的方向做準備。