好吧,其实从勒索病毒问世以来,除了第一波蔓延的时候,台湾这边传出大量灾情外,其实陆陆续续虽然有因为病毒的变种传出灾情,终究是少量中的少量,但是这次似乎就闹得很大了,从6月1日起至今,PTT防毒板就传出了勒索病毒cryptXXX的大量灾情,而且还是变种版本的。
从6月1日开始,PTT AntiVirus板(简称防毒板)出现了一篇标题为“[问题] 所有照片文件MP3的档名多了.cryp1”的文章,里面描述说他电脑内jpg pdf mp3 txt之类的非系统档案都被加密成.cryp1档,而且桌面也被置换。使用卡巴斯基或者是趋势科技的解密软件无用。而相关的文章从6月3日起就传出大量的灾情。
由于趋势科技的确可以解密cryptXXX V3.0的.cryp1加密,而乡民表示无用的话,推测这一版的勒索病毒可能是cryptXXX的变种版本,所以过去的勒索病毒解密软件无法支援。而整理了网友的文章后,大概推敲出几个共通性:
1.根据文章整体来看,大部分有提到的都是IE的使用者。
2.有几个案例是IE突然跳出更新,且无法取消,按下确认后就中奖了。
3.部分使用者有去去中国网站的习惯。
4.有使用者坚持自己没有去中国网站,但是有阅读国内新闻网站,推测可能是从Flash广告的部分中奖
5.病毒疑似有潜伏期,有使用者是突然看YouTube看到一半就中奖的。
6.目前此变种cryptXXX,卡巴斯基与趋势科技先前推出的的解密软件无法解密。
7.案例中有一例是无法上网的主机被加密,有网友推测病毒是从共享资料夹内入侵。
8.目前统计的案例来看,只要有写入权限的资料夹都可能被加密
9.专攻通用文件格式与图片格式,特殊格式不在攻击范围内。
总而言之,目前此变种cryptXXX是无法事后解密的,要事先预防的话,首当其冲的就是IE浏览器,不少案例都是使用IE浏览器跳出疑似病毒伪装的更新后,按下更新按钮才中毒的,可能的话就先暂时停用它吧。剩下的也有使用者建议开启“使用者账户控制设定”,把等级调到最高,让有任何软件要执行前都先行通知你。当然,你也要学着判断你到底执行了那些应用程序。
↑有网友推荐用这招来避免勒索病毒未经同意启动。
最后还是重申一下,虽然目前为止这套疑似为变种版本的cryptXXX无解。有鉴于勒索病毒日新月异、种类繁多、变种软件更多,往后勒索病毒相关文章,都会将一些预防的方式与解锁的方式列在文章最后面,并且持续的不断更新,希望以此能够帮助一些人。当然,任何的方法都比不上定时备份重要档案的良好习惯,在面对这波病毒潮,逼自己一下吧。
绑架电脑档案勒索赚钱 简单步骤预防档案加密病毒《TorrentLocker》及《Crypt0L0cker》
把档案放在保险箱中 用《iPC 2016》避免勒索病毒的侵袭吧
预防胜于治疗 欧洲防毒公司推出CryptoLocker勒索病毒疫苗
对抗部分勒索软件有效 关闭Windows解压缩时自动执行JScript功能
CrypBoss (包含衍生的HydraCrypt与UmbreCrypt)
CoinVault与Bitcryptor
Petya
勒索病毒Petya有解 国外安全专家Petya Sector Extractor解密程式
TeslaCrypt(包含其变种病毒)