怎样清除勒索软件?用作战计划进行反击!
2017-08-21MarkHachmanCharle
Mark+Hachman++Charles
常识、备份、主动防护和自动清除工具相结合,能够有力地防御日益猖獗的勒索软件,甚至是最近的Petya攻击。
勒索软件并不像普通恶意软件那样偷偷潜入到您计算机中。它会突然出现,用枪指着您的数据,尖叫着要现金或者其他的东西。如果您不学会保护自己,正如Petya(或者NotPetya)爆发所展示的,这会一再发生。
Petya是一种类似于一小段恶意软件的勒索软件,最近攻击了乌克兰和全球的其他一些网站,对文件进行加密,直到拿到赎金。而研究人员迅速做出响应,阻止了这些勒索软件的传播——它们也被称为Petrwrap、exPetr、Petna和SortaPetya。实际上并没有真正的好方法来清除Petya勒索软件,但研究人员想出了一个办法让您的计算机获得“免疫”,恶意软件公司已经在努力去阻止这些勒索软件。
Petya是过去两个月中第二次勒索软件的大爆发,之前是WannaCry,它看起来是利用了国家安全局开发的软件,后来变成了恶意软件。它攻击了英国国家健康服务中心以及其他一些银行和机构。
武装起来的数字大盗团伙游荡在信息高速公路上,这听起来像一个紧张的动作片,但数字说的没错:据Sonicwall,勒索软件攻击从2015年的380万次上升到2016年的6亿3800万次,同比增长167倍——而恶意软件攻击次数在下降。能要现金的时候,为什么要偷数据呢?
最近在旧金山举行的RSA安全会议有史以来第一次召开了为期一天的勒索软件研讨会,详细介绍了谁被攻击,他们交了多少钱,更重要的是,如何阻止、清除勒索软件,还有怎样与拿着您的数据作为人质的骗子们进行谈判。我们得到了一些宝贵的信息,您可以用于制定反勒索软件策略。
Malwarebytes等反勒索软件解决方案能够可靠的对讨厌的软件进行更强的防护,但并非万无一失。
准备好应对Petya
据BleepingComputer.com,Petya/NotPetya/KindaPetya这些勒索软件如果发现有名为“perfc”的本地文件,它们实际上不会加密您计算机的文件。幸运的是,如果您创建这个文件,Petya就不会运行。
BleepingComputer介绍了究竟怎样创建perfc文件(简单讲,复制一个notepad.exe,重命名为perfc,然后使其只读),还提供了一个帮助您完成这一工作的批处理文件的链接。好在只要一分钟的时间就能够手动创建perfc文件,而批处理文件的确创建了相关的.dat和.dll文件,目的是进一步确保Petya不会感染您的计算机。
勒索软件专打您最疼的地方——做好准备吧
三年前,我妻子的计算机被勒索软件入侵了,危及到孩子的照片、稅务文件和其他个人资料。我的心很沉重:为了避免失去我们的数字化生活,我们要付出几百美元吗?谢天谢地,没有——因为我们已经采取了专家推荐的大部分措施。
第一步:了解您的敌人。据英特尔安全EMEA地区业务首席技术官Raj Samani,400多个家庭成为勒索软件的受害者——有些甚至是Mac OS和Linux用户。Datto的调查发现,CryptoLocker采用时间锁定加密方法获取并锁上您的个人文件,这是迄今为止最常见的攻击方式。但是有不同的形式。据SentinelOne安全战略主任Jeremiah Grossman介绍,有人控制了受害者的网络摄像头,捕捉到令人尴尬的画面,威胁要将其公布于网上。
一些常识性的习惯可以帮助您尽可能不会暴露给恶意软件和勒索软件,专家说:
通过Windows更新保持您的计算机最新。WannaCry甚至都不去攻击Windows 10,而是选择Windows XP和其他老版本的Windows操作系统。
确保您有主动防火墙和反恶意软件解决方案。Windows防火墙和Windows Defender还不够,最好能采用好的第三方反恶意软件解决方案。已经提供了WannaCry补丁,甚至是针对Windows 8和Windows XP的。
但是,不要依靠反恶意软件来拯救您自己。专家在RSA研讨会上提醒与会者,防病毒公司只是刚刚开始着手处理勒索软件,他们的保护也没有得到保证。
确保禁用了Adobe Flash,或者采用谷歌Chrome这样的浏览器上网,默认情况下禁用它。
如果启用了Office宏,那么禁用它们。(在Office 2016中,您可以从Trust Center > Macro Settings中,或者在顶部搜索框输入“macros”,然后打开“Security”对话框,确保已经禁用了它们。)
不要打开有问题的链接,不论是网页上的,还是电子邮件中的。您遇到的勒索软件最常见的攻击方式是点击一个恶意链接。更糟糕的是,Datto跟踪的大约三分之二的感染发生在多台计算机上,这说明被感染的用户转发了链接,更多的人被感染了。
同样的,远离互联网上的那些坏地方。如果您不小心,合法站点上的坏广告也会注入恶意软件,如果去了不该去的地方,风险就会更大。
对于专用的反恶意软件保护,可以考虑Malwarebytes 3.0,它宣称能够对抗勒索软件。RansomFree还开发了所谓的反勒索软件保护。然而,反恶意软件程序通常会为其付费商业套件预留反勒索软件功能。您可以下载免费的反勒索软件保护程序,例如,Bitdefender的反勒索软件工具,但它只保护您不受四种常见勒索软件变种的危害。卡巴斯基还声称,通过其System Watcher组件,简单的进行回滚修改,就可以阻止Petya或者Petrwrap(不管它最终叫什么名字)。
好但还不太完美的防护:备份
勒索软件加密并锁上您最珍贵的文件——所以没有理由让这些文件那么脆弱。将其进行备份是不错的策略。
利用Box、OneDrive、Google Drive等提供的免费存储,经常性地备份您的数据。(要注意——如果您行动不够迅速,您的云服务也可能会备份受感染的文件)。更好的是,买一块外部硬盘——希捷1TB硬盘只有55美元左右,从而加上一些不经常访问的“冷备份”。经常执行增量式备份,然后取下硬盘,隔离数据副本。
如果您的数据进行了在线备份,您会感觉好很多。
如果您被感染了,勒索软件可能让您通过File Explorer清楚地看到哪些文件被劫持了。一条线索是普通的.DOC或者.DOCX文件有了奇怪的扩展名。Avast首席技术官Ondrej Vlcek提出了一个不太“直观”的建议:如果勒索软件不是时间锁定的,您不是马上需要这些文件,那就先不管这些文件。(不过,在另一台计算机上工作)。您的防病毒解决方案有可能在开发出应对措施后解锁这些文件。
然而,备份并不是万无一失的。例如,您可能需要研究怎样备份保存的游戏和其他不适合归类为“文档”或者“照片”的文件。一些实用程序和其他自定义的应用程序也是如此。
如果您被勒索软件感染了怎么办
您怎么知道自己计算机上有勒索软件?相信我们,您会知道的。破碎的城堡指环等勒索软件会“警告”您的计算机里有儿童色情相关的东西,大多数勒索软件给人的印象就是引起压力和恐惧。
不要惊慌。首先您应该联系有关部门,包括警察和相关的互联网犯罪投诉中心。然后通过查看目录并确定哪些用户文件被感染了,知道问题有多严重。(如果您的确发现您的文件有奇怪的扩展名,试一试把它们改回来——一些勒索软件使用“假”加密,仅仅改变了文件名称,并没有真正加密。)
下一步?识别并清除。如果您有一个付费的反恶意软件解决方案,那么扫描您的硬盘,联系您的供应商技术支持和帮助论坛。另一个非常好的资源是NoMoreRansom.com的Crypto-Sheriff,这是英特尔、Interpol和卡巴斯基实验室资源和勒索软件卸载程序的汇总,可以帮助您采用清除工具从自己的系统中清除掉勒索软件。
NoMoreRansom.org的Crypto-Sheriff网站主页包括一个用于发现什么样的勒索软件感染了您计算机的简单工具。
如果一切都失败了
不幸的是,专家们说,关键问题是我们应该付赎金,还是冒着失去一切的风险?——通常需要掏钱才能解决。如果您清除不掉勒索軟件,那就不得不考虑您的数据有多重要,是不是经常需要这些数据。Datto的2016年调查显示,42%的小企业因为遭受勒索软件攻击而付过赎金。
微软
从2015年12月至2016年5月,Tescrypt是微软检测到的最常见的勒索软件变种。
记住,在恶意软件的另一端,有一个人虎视眈眈的要毁掉您的生活。如果能有方法联系上勒索软件作者,专家建议您试一试。别指望能说服他们会免费解密您的文件。勒索软件作者首先是骗子,但也是商人,您总是可以尝试要求延长一些时间,或者降低一些赎金。如果没有别的办法,Grossman说,不妨谈一谈所谓的“人格担保”——罪犯能提供什么样的保证,让您找回自己的数据?(在Datto调查的公司中,约有四分之一没有找回数据。)
不过请记住,预防、复制和备份措施不过是给您多了一些选择。如果您的原始数据保存在其他地方,您所需要做的就是重置自己的计算机,重新安装您的应用程序,并从备份中恢复您的数据。
别让这发生在
您身上
对于我的情况,我的妻子和我发现我们已经把一切重要的东西都备份到了云服务和外部硬盘上。我们失去的只是一个晚上几个小时的时间,包括重置她的计算机。
勒索软件能够以多种方式感染您的计算机:一个新的应用程序,一个基于Flash的游戏网站,一次意外的点击不良广告。在我们的例子中,一定要记住,不管怎样都不要随便去点击——我们只是因为“朋友”推荐了一些购物网站。我们也把这些教训讲给孩子们听。
勒索软件给人的是令人不安的提醒,有人会伤害你,而这种不幸可能随时发生。如果您把自己的计算机当成家的一部分,进行清洁、维护、防止外来威胁,那么你就会清楚地知道自己已经为最坏的情况做好了准备。
Mark Hachman——资深编辑,专注于微软新闻和芯片技术,以及其他相关主题。
原文网址:
http://www.pcworld.com/article/3169524/security/how-to-remove-ransomware-use-this-battle-plan-to-fight-back.html