RANSOM_Waltrix( CryptXXX)勒索病毒
主要感染症狀及建議緊急處理措施
 

勒索病毒簡介
勒索病毒是一種特殊的惡意軟體,受害者會失去對自己系統或資料的控制權(例如無法使用作業系統或是檔案被加密),如果不付錢就無法取回控制權。目前流行的種類為加密型勒索病毒:將電腦裡的檔案加密,並且要求支付贖金。

感染勒索病毒後果
目前最流行的勒索病毒種類為加密型勒索病毒:將電腦裡的檔案加密後要求支付贖金。若駭客所使用的加密演算法夠完善的話,遭到加密的檔案幾乎沒有辦法解密。
近來的一種勒索病毒還會限制付款時間,隨著螢幕上的紅色倒數計時,時間過越久就刪除越多檔案,贖金金額也會跟著提高,增加受害的的心理負擔。(詳情可參考:奪魂鋸勒索軟體JIGSAW

近期感染勒索病毒(RANSOM_Waltrix or CryptXXX災情嚴重主因
近期RANSOM_Waltrix(CryptXXX)勒索病毒災情頻傳,感染案件遽增的原因是駭客透過惡意廣告發動攻擊,所謂惡意廣告是駭客偽裝成廣告主,將他們製作的惡意廣告透過廣告商推播至各大網站或部落格。因此瀏覽一般正常網站也可能遭遇惡意廣告因而感染勒索病毒,尤有甚者駭客會利用漏洞攻擊套件(Exploit Kit)攻擊作業系統及應用程式的漏洞,若使用者電腦沒有更新修補程式,只是瀏覽一般網頁就可能會中勒索病毒。此波肆虐台灣的勒索病毒利用Flash/SilverLight/IE的漏洞進行攻擊,據受害者反映,瀏覽新聞網站、入口網站以及文章常在FaceBook上被分享的一些內容農場網站之後,開始出現感染勒索病毒的情況,建議盡快更新Flash/SilverLight/IE的修補程式以降低遭遇勒索病毒攻擊的風險。
此類攻擊模式未來只會更多不會更少,遭受攻擊的軟體種類必會愈來愈多防不勝防,因此趨勢科技提醒您,請保持作業系統及各種應用程式更新到最新以防堵各種資安漏洞。

感染勒索病毒的症狀
感染勒索病毒時,勒索病毒會連線到C&C伺服器下載加密金鑰並且開始加密電腦中的檔案,然後在電腦上放置Ransom Note檔案(支付贖金的說明檔案)。因此,當下列症狀出現時,就有可能就是遭到勒索病毒感染:

  • 發現不明對外連線
  • 發現各目錄下開始出現奇怪副檔名的檔案,例如:.crypt、.ECC、.AAA、.XXX、.ZZZ等等
  • 突然出現很多Ransom Note檔案(支付贖金的說明檔案)或捷徑,通常是.txt檔或是.html檔,如下圖:

  • 在瀏覽器工具列發現奇怪的捷徑,如下圖:

  • 防毒軟體持續跳出偵測到病毒的警訊。趨勢科技OfficeScan偵測到安全威脅/違規,會在電腦螢幕右下方出現彈出式視窗,視窗中說明偵測到哪種類型的安全威脅/違規。下圖中,OfficeScan偵測到147筆病毒/惡意程式。若是在短時間內,持續出現此類彈出式視窗,且偵測到的安全威脅數量持續增加,即可能是遭到勒索病毒感染的情形(因勒索病毒持續加密,持續產生Ransom Note,OfficeScan就會持續偵測到Ransom Note)。

 

點按上圖中的偵測數字後,即可開啟偵測紀錄檔。如下圖,在偵測紀錄檔中若看到很多被偵測到的Ransom Note檔案(支付贖金的說明檔案),且持續增加,就代表可能已經感染勒索病毒,須馬上做緊急處理。

中了勒索病毒怎麼辦?
在發現異狀的當下:

  • 立即切斷網路,避免將網路磁碟機或共享目錄上的檔案加密。
  • 立即關閉電腦電源:關閉電腦電源的目的是不讓勒索病毒繼續加密電腦中的檔案,關機時間愈快被加密的檔案愈少,建議強制關閉電腦電源
  • 保留電腦,通報資訊人員;
  • 不要付錢。

資訊人員的緊急處理措施:

  • 暫時停用帳號,暫時停止該帳號的網路存取權限
  • 檢查該帳號權限可寫入的共享資料夾是否遭受感染
  • 取出硬碟,透過另一台電腦備份尚未加密的檔案
  • 找出勒索軟體侵入管道
  • 利用趨勢科技採樣工具掃瞄,並後送趨勢科技進行分析。

如果時機已晚,勒索病毒已完全感染電腦並將檔案加密,可嘗試趨勢科技勒索病毒檔案解密工具。在此提醒您,此工具仍在持續改善中,並無法保證能將檔案解密救回。

面對勒索病毒的防範之道
面對如此恐怖的勒索病毒,趨勢科技建議採取三不三要:

  • 不上鉤:收到標題吸引人的郵件,務必停看聽
  • 不打開:不隨便打開Email附件檔案
  • 不點擊:不隨意點擊Email中的網址
  • 要備份:依據3-2-1原則妥善備份重要資料—在兩種不同媒介上建立三個備份,其中一個備份要放在不同地方
  • 要確認:打開Email前要確認寄件者身份
  • 要更新:作業程式、軟體、病毒碼要隨時保持更新狀態,當軟體廠商(例如Flash/SilverLight/IE)公布修補程式請盡快更新。

最後,趨勢科技建議您安裝針對勒索病毒加強防護的資安軟體並時時保持更新。

[趨勢科技技術支援聯絡方式]

  • 企業授權用戶技術專線: Tel: 886-2-2377-2323
  • Web mail : http://www.trend.com.tw/corpmail/
  • 產品技術問題請至常見問題集查詢
  • 服務時間: 週一至週五 , 上午9:00~12:00 下午1:30 ~5:30 (例假日及國定假日除外)
arrow
arrow
    全站熱搜

    豬頭老爹 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄