常識、備份、主動防護和自動清除工具相結合,能夠有力地防禦日益猖獗的勒索軟體,甚至是最近的Petya攻擊。
勒索軟體並不像普通惡意軟體那樣偷偷潛入到您計算機中。它會突然出現,用槍指著您的資料,尖叫著要現金或者其他的東西。如果您不學會保護自己,正如Petya(或者NotPetya)爆發所展示的,這會一再發生。
Petya是一種類似於一小段惡意軟體的勒索軟體,最近攻擊了烏克蘭和全球的其他一些網站,對檔案進行加密,直到拿到贖金。而研究人員迅速做出響應,阻止了這些勒索軟體的傳播——它們也被稱為Petrwrap、exPetr、Petna和SortaPetya。實際上並沒有真正的好方法來清除Petya勒索軟體,但研究人員想出了一個辦法讓您的計算機獲得“免疫”,惡意軟體公司已經在努力去阻止這些勒索軟體。
Petya是過去兩個月中第二次勒索軟體的大爆發,之前是WannaCry,它看起來是利用了國家安全域性開發的軟體,後來變成了惡意軟體。它攻擊了英國國家健康服務中心以及其他一些銀行和機構。
武裝起來的數字大盜團伙遊蕩在資訊高速公路上,這聽起來像一個緊張的動作片,但數字說的沒錯:據Sonicwall,勒索軟體攻擊從2015年的380萬次上升到2016年的6億3800萬次,同比增長167倍——而惡意軟體攻擊次數在下降。能要現金的時候,為什麼要偷資料呢?
最近在舊金山舉行的RSA安全會議有史以來第一次召開了為期一天的勒索軟體研討會,詳細介紹了誰被攻擊,他們交了多少錢,更重要的是,如何阻止、清除勒索軟體,還有怎樣與拿著您的資料作為人質的騙子們進行談判。我們得到了一些寶貴的資訊,您可以用於制定反勒索軟體策略。
Malwarebytes等反勒索軟體解決方案能夠可靠的對討厭的軟體進行更強的防護,但並非萬無一失。
準備好應對Petya
據BleepingComputer.com,Petya/NotPetya/KindaPetya這些勒索軟體如果發現有名為“perfc”的本地檔案,它們實際上不會加密您計算機的檔案。幸運的是,如果您建立這個檔案,Petya就不會執行。
BleepingComputer介紹了究竟怎樣建立perfc檔案(簡單講,複製一個notepad.exe,重新命名為perfc,然後使其只讀),還提供了一個幫助您完成這一工作的批處理檔案的連結。好在只要一分鐘的時間就能夠手動建立perfc檔案,而批處理檔案的確建立了相關的.dat和.dll檔案,目的是進一步確保Petya不會感染您的計算機。
勒索軟體專打您最疼的地方——做好準備吧
三年前,我妻子的計算機被勒索軟體入侵了,危及到孩子的照片、稅務檔案和其他個人資料。我的心很沉重:為了避免失去我們的數字化生活,我們要付出幾百美元嗎?謝天謝地,沒有——因為我們已經採取了專家推薦的大部分措施。
第一步:瞭解您的敵人。據英特爾安全EMEA地區業務首席技術官Raj Samani,400多個家庭成為勒索軟體的受害者——有些甚至是Mac OS和Linux使用者。Datto的調查發現,CryptoLocker採用時間鎖定加密方法獲取並鎖上您的個人檔案,這是迄今為止最常見的攻擊方式。但是有不同的形式。據SentinelOne安全戰略主任Jeremiah Grossman介紹,有人控制了受害者的網路攝像頭,捕捉到令人尷尬的畫面,威脅要將其公佈於網上。
一些常識性的習慣可以幫助您儘可能不會暴露給惡意軟體和勒索軟體,專家說:
透過Windows更新保持您的計算機最新。WannaCry甚至都不去攻擊Windows 10,而是選擇Windows XP和其他老版本的Windows作業系統。
確保您有主動防火牆和反惡意軟體解決方案。Windows防火牆和Windows Defender還不夠,最好能採用好的第三方反惡意軟體解決方案。已經提供了WannaCry補丁,甚至是針對Windows 8和Windows XP的。
但是,不要依靠反惡意軟體來拯救您自己。專家在RSA研討會上提醒與會者,防病毒公司只是剛剛開始著手處理勒索軟體,他們的保護也沒有得到保證。
確保禁用了Adobe Flash,或者採用谷歌Chrome這樣的瀏覽器上網,預設情況下禁用它。
如果啟用了Office宏,那麼禁用它們。(在Office 2016中,您可以從Trust Center > Macro Settings中,或者在頂部搜尋框輸入“macros”,然後開啟“Security”對話方塊,確保已經禁用了它們。)
不要開啟有問題的連結,不論是網頁上的,還是電子郵件中的。您遇到的勒索軟體最常見的攻擊方式是點選一個惡意連結。更糟糕的是,Datto跟蹤的大約三分之二的感染髮生在多臺計算機上,這說明被感染的使用者轉發了連結,更多的人被感染了。
同樣的,遠離網際網路上的那些壞地方。如果您不小心,合法站點上的壞廣告也會注入惡意軟體,如果去了不該去的地方,風險就會更大。
對於專用的反惡意軟體保護,可以考慮Malwarebytes 3.0,它宣稱能夠對抗勒索軟體。RansomFree還開發了所謂的反勒索軟體保護。然而,反惡意軟體程式通常會為其付費商業套件預留反勒索軟體功能。您可以下載免費的反勒索軟體保護程式,例如,Bitdefender的反勒索軟體工具,但它只保護您不受四種常見勒索軟體變種的危害。卡巴斯基還聲稱,透過其System Watcher元件,簡單的進行回滾修改,就可以阻止Petya或者Petrwrap(不管它最終叫什麼名字)。
好但還不太完美的防護:備份
勒索軟體加密並鎖上您最珍貴的檔案——所以沒有理由讓這些檔案那麼脆弱。將其進行備份是不錯的策略。
利用Box、OneDrive、Google Drive等提供的免費儲存,經常性地備份您的資料。(要注意——如果您行動不夠迅速,您的雲服務也可能會備份受感染的檔案)。更好的是,買一塊外部硬碟——希捷1TB硬碟只有55美元左右,從而加上一些不經常訪問的“冷備份”。經常執行增量式備份,然後取下硬碟,隔離資料副本。
如果您的資料進行了線上備份,您會感覺好很多。
如果您被感染了,勒索軟體可能讓您透過File Explorer清楚地看到哪些檔案被劫持了。一條線索是普通的.DOC或者.DOCX檔案有了奇怪的副檔名。Avast首席技術官Ondrej Vlcek提出了一個不太“直觀”的建議:如果勒索軟體不是時間鎖定的,您不是馬上需要這些檔案,那就先不管這些檔案。(不過,在另一臺計算機上工作)。您的防病毒解決方案有可能在開發出應對措施後解鎖這些檔案。
然而,備份並不是萬無一失的。例如,您可能需要研究怎樣備份儲存的遊戲和其他不適合歸類為“文件”或者“照片”的檔案。一些實用程式和其他自定義的應用程式也是如此。
如果您被勒索軟體感染了怎麼辦
您怎麼知道自己計算機上有勒索軟體?相信我們,您會知道的。破碎的城堡指環等勒索軟體會“警告”您的計算機裡有兒童色情相關的東西,大多數勒索軟體給人的印象就是引起壓力和恐懼。
不要驚慌。首先您應該聯絡有關部門,包括警察和相關的網際網路犯罪投訴中心。然後透過檢視目錄並確定哪些使用者檔案被感染了,知道問題有多嚴重。(如果您的確發現您的檔案有奇怪的副檔名,試一試把它們改回來——一些勒索軟體使用“假”加密,僅僅改變了檔名稱,並沒有真正加密。)
下一步?識別並清除。如果您有一個付費的反惡意軟體解決方案,那麼掃描您的硬碟,聯絡您的供應商技術支援和幫助論壇。另一個非常好的資源是NoMoreRansom.com的Crypto-Sheriff,這是英特爾、Interpol和卡巴斯基實驗室資源和勒索軟體解除安裝程式的彙總,可以幫助您採用清除工具從自己的系統中清除掉勒索軟體。
NoMoreRansom.org的Crypto-Sheriff網站主頁包括一個用於發現什麼樣的勒索軟體感染了您計算機的簡單工具。
如果一切都失敗了
不幸的是,專家們說,關鍵問題是我們應該付贖金,還是冒著失去一切的風險?——通常需要掏錢才能解決。如果您清除不掉勒索軟體,那就不得不考慮您的資料有多重要,是不是經常需要這些資料。Datto的2016年調查顯示,42%的小企業因為遭受勒索軟體攻擊而付過贖金。
微軟
從2015年12月至2016年5月,Tescrypt是微軟檢測到的最常見的勒索軟體變種。
記住,在惡意軟體的另一端,有一個人虎視眈眈的要毀掉您的生活。如果能有方法聯絡上勒索軟體作者,專家建議您試一試。別指望能說服他們會免費解密您的檔案。勒索軟體作者首先是騙子,但也是商人,您總是可以嘗試要求延長一些時間,或者降低一些贖金。如果沒有別的辦法,Grossman說,不妨談一談所謂的“人格擔保”——罪犯能提供什麼樣的保證,讓您找回自己的資料?(在Datto調查的公司中,約有四分之一沒有找回資料。)
不過請記住,預防、複製和備份措施不過是給您多了一些選擇。如果您的原始資料儲存在其他地方,您所需要做的就是重置自己的計算機,重新安裝您的應用程式,並從備份中恢復您的資料。
別讓這發生在
您身上
對於我的情況,我的妻子和我發現我們已經把一切重要的東西都備份到了雲服務和外部硬碟上。我們失去的只是一個晚上幾個小時的時間,包括重置她的計算機。
勒索軟體能夠以多種方式感染您的計算機:一個新的應用程式,一個基於Flash的遊戲網站,一次意外的點選不良廣告。在我們的例子中,一定要記住,不管怎樣都不要隨便去點選——我們只是因為“朋友”推薦了一些購物網站。我們也把這些教訓講給孩子們聽。
勒索軟體給人的是令人不安的提醒,有人會傷害你,而這種不幸可能隨時發生。如果您把自己的計算機當成家的一部分,進行清潔、維護、防止外來威脅,那麼你就會清楚地知道自己已經為最壞的情況做好了準備。
Mark Hachman——資深編輯,專注於微軟新聞和晶片技術,以及其他相關主題。
原文網址:
http://www.pcworld.com/article/3169524/security/how-to-remove-ransomware-use-this-battle-plan-to-fight-back.html