[PConline 应用]最近几年一种以敲诈用户钱财为目的病毒流行起来,用户电脑中误中这种病毒后,该类病毒会自动的加密用户在电脑硬盘中的各类文件,并且显示勒索信息,让受害者交付赎金才能解密找回文件,这对于电脑中存储有重要资料的用户来说,简直就是噩梦。
那么勒索病毒危害如何?咱就来实测一下看看它的恐怖为例!如何防范此类病毒,咱也来探讨一下!如何解密被这类病毒加密的文件,咱也来唠叨唠叨!
图1 勒索病毒对用户资料文件是个灾难(图片来源Kaspersky)
什么是勒索病毒
勒索病毒是一种目前流行的病毒,通过网络等多种途径传播,受害者电脑感染该病毒后后,病毒将自动加密受害者电脑里的多种常见文件,使得受害者的重要资料文件无法正常使用,或者是锁住用户电脑,并以此为条件向用户勒索钱财。被恶意加密的文件类型包括了文档、邮件、数据库、源代码、图片、视频、key文件和压缩文件等多种文件。黑客们勒索的赎金形式包括真实货币、比特币或其它虚拟货币。一般来说,勒索软件作者还会设定一个支付时限,有时赎金数目也会随着时间的推移而上涨。特殊情况下即使用户支付了赎金,最终也还是无法还原被加密的文件。
勒索病毒在真假方面可以分为两类,一类为真实加密一类为虚假加密。
采用真实加密的勒索病毒由于采用了高强度加密方式,没有病毒作者手中的密钥,就无法进行文件的解密操作,受害者不得不为此而交付赎金。而有些则因为无法联系到病毒作者或者病毒加密文件时出错,进而导致了文件无法解密,用户资料文件因此被锁,损失惨重。而采用虚假加密的勒索病毒只是简单地将用户的文件进行了隐藏甚至只是改了后缀名,稍微懂电脑技术的都可以把文件重新找回来。
勒索病毒实测 恐怖的全盘文件加密
为了让大家更好的了解勒索病毒,让我们先来用虚拟机测试一下勒索病毒,看看它的恐怖威力。为了方便测试,本次测试Windows环境采用了Windows 7系统,没有安装任何的杀毒软件。
笔者先在虚拟机硬盘分区的PConline文件夹中准备了多种常见文件类型的文件,包含了文本文档及微软office系列文档、常见媒体文件格式文档、常见图片格式文档、常见压缩格式文档,具体测试文件请看下图。
图2 测试文件列表
接下来,运行勒索病毒,静候片刻后,Windows桌面背景已经被病毒修改为勒索信背景图片。这个时候再进入PConline件夹中查看测试文件,PConline文件夹中的参与测试文件都已经被病毒进行加密操作,并修改后缀名为WNCRY。
图4 常用文件格式全军覆没
然后还有个勒索说明弹窗,这个弹窗还“贴心”的准备了多国语言。
图5 勒索说明弹窗
造成的危害:由于勒索病毒大多都都是全盘扫描并加密用户电脑中的常见文件格式文件。诸如用户保存到电脑中的照片、视频等具有纪念价值的文件被加密,工作事业文件被加密严重影响工作甚至导致工作停摆。于是便有了不少受害者上网求助。“十几年的照片被恶意加密,跪求破解”。“多年研究资料被加密,研究成果毁于一旦”。由于勒索病毒大多数采用了比特币支付方式,并且有些勒索病毒的支付页面已经无法打开或者需要采用非常方式打开,导致用户即使想要支付赎金都无从支付。甚至有些勒索病毒所加密的文件在用户支付赎金后依然无法进行解密操作。
需要提醒受害者的是,如果你的重要资料文件被勒索病毒所加密,请勿重装操作系统或者清除病毒,重装操作和清除病毒操作将可能导致一些解密所需数据丢失,进而交了赎金后也可能无法进行文件解密。
勒索病毒能自行解密么 安全厂商联合推出解密网站
上边说了,多数勒索病毒都采用了高强度加密算法进行加密,如RSA加密,这类加密算法具有极高的安全性,除非拿到密钥,否则几乎无法解密(大多数敲诈者木马,目前都采用了比较规范的非对称结合对称的加密手段,这直接导致了在没有拿到黑客手中的私钥的前提下,解密文件几乎不可能。)。也就是说,如果受害者不接受黑客的勒索条件,则电脑上的几乎所有重要数据都将无法找回,给受害者带来巨大的损失。
提供100+勒索病毒解密工具
正由于勒索病毒给受害者带来了严重的损失,所以勒索病毒也成为了各大计算机安全厂商重点关注对象。这不,为了对付勒索病毒,荷兰国家警察高科技犯罪单位、欧洲刑警欧洲网络犯罪中心,以及卡巴斯基实验室和英特尔安全,一起做了专门针对勒索病毒的网站-——No more ransom(拒绝勒索软件)。
No more ransom:https://www.nomoreransom.org/zh/index.html
“拒绝勒索软件”网站是一项由荷兰国家警察高科技犯罪单位、欧洲刑警组织下属欧洲网络犯罪中心, 卡巴斯基实验室 和英特尔公司(英特尔安全)网络保安全公司所推动的计划,旨在帮助勒索软件的受害者重新取回其加密数据,而无需支付赎金。
No more ransom收录了超过100种已知的勒索病毒,并且针对这些勒索病毒做了专门的解密工具。如果不幸中招的用户,可以尝试使用该网站里的“解码刑警”工具来识别所中的是何种勒索病毒,并且查询是否有解密工具。
只需要上传一个小于1M的被恶意加密的文件到解码刑警页面,稍等片刻该网站就会给用户提供究竟是中了何种病毒以及病毒信息,并且给出了解决方案。(如果你已经知道是何种勒索病毒,可以直接在“解密工具”页面查找解密工具)
可是也别抱太大的希望,就像小编测试的这种勒索病毒,虽然已经老旧,但是在No more ransom还没找到解密方案。
图6 上传文件到解码刑警
图7 获得结果
图8 解密工具页面
在的解密工具页面提供了100+勒索病毒的加密工具,这里有着多家安全软件厂商提供的针对性勒索病毒解密工具,有解密工具的直接下载地址与使用指南,切记先看指南再用工具。
图9 有下载地址与解密指南
360在线查询与解密网站
国内知名安全软件360页推出了一个专门的勒索病毒查询与在线解密网站。
360勒索病毒解密:https://lesuobingdu.360.cn/
在这里,用户同样可以通过上传被加密文件的方式来查询是中了哪种勒索病毒,并可以尝试解密。
图10 上传被加密文件获得结果
勒索病毒可以防范么 做足措施防范损失
防范措施一:最重要的是定期异地备份
硬盘有价,数据无价。和以前不同,现在有许多人都习惯了把重要资料保存在电脑中,方便查看与修改。可是许多人却忘记了硬盘会坏,电脑可能被盗,文档可能被误删除,系统可能会被感染病毒,甚至到了目前的文档可能会被敲诈类病毒加密的地步。因为这些原因而导致重要资料丢失的新闻并不鲜见,有个教授甚至因此而丢失了几十年的科研记录。所以养成定期的文档备份习惯是必须的事情。现在有许多自动同步软件,可以帮助你自动进行文档的本地及局域网、FTP备份。
而笔者建议的是,至少要用一个移动存储器(如U盘、移动硬盘)来对重要资料进行异地备份。也就是说,备份存储器不要时刻与电脑进行连接。只在需要备份时进行连接。为的就是防范备份文件在系统中毒后也会遭到感染,所以强调“异地”备份。
对于这个用户备份的移动存储器里边的备份文件保密问题,你可以采用Windows BitLocker功能相对该移动存储器进行加密操作,不过千万不要忘记密码。
图11 FileGee同步备份软件
而且还有许多的网盘客户端软件,也可以帮助你把指定的文档定期的备份到网盘存储空间去。部分网盘还支持多版本文件功能,更是可以帮你找回文件的旧版本。
图12 百度网盘的文件夹备份功能
防范措施二 安装一款靠谱的杀毒软件
别相信什么裸奔电脑的情况,杀毒软件无用论,至少,目前勒索病毒已经被各个安全软件公司所关注,当然相应的各个知名杀毒软件也能够查杀该类病毒及其一些变种,所以安装一款靠谱的杀毒软件还是非常有必要的,还有,记得要升级所安装的杀毒软件病毒库到最新版本。
图13 靠谱的杀毒软件还是有作用的
只是,勒索病毒或许还在更新,并且会形成更多的变种以逃避杀毒软件的查杀,所以有了杀毒软件也不能掉以轻心。
还有需要注意的是,如果系统真的中了勒索者病毒,并且重要文档被加密的话,千方不要先查杀该病毒,因为某些勒索病毒采用了将用户文件加密并植入病毒的方式,如果你查杀了病毒,也就同步删除了被加密的文件。重要的是,先恢复被感染的文档再进行病毒查杀操作。
总结
近几年病毒木马似乎变得少了,于是现在的网友们就没有了以前那必装杀毒软件,甚至还要装上几个杀毒软件那种警惕性了。其实各种盗号木马还是层出不穷,各种病毒还在不少用户电脑中潜伏着肆意破坏着。作为普通用户,咱还需多加防范,对于重要资料文件,咱的备份操作少不得,安全第一!
