中勒索病毒怎么办！ 勒索病毒的前兆有什么？ 怎么破解？ 一次看懂！

科技的进步，使网络黑客能以前所未有的方式入侵电脑系统，对个人、企业甚至是整个社会，都会造成极大的损害。 对于信息安全，防备之心不可无，今天将深入介绍勒索病毒的各种类型、防范措施以及感染时的应急处理方案，带您一起破解勒索病毒的威胁

勒索病毒是什么？

勒索病毒（英文：Ransomware）是一种恶意软件，以木马病毒（远程监控受害电脑的后门程序）或蠕虫病毒（利用系统漏洞进行传播）的形式进行入侵。 一旦成功侵入受害者的计算机系统，勒索病毒会对硬盘中的数据进行加密，包括键盘输入的数据、权限凭证、文档访问编辑以及执行命令等，使得受害者无法再访问这些文件。

加密后，骇客会向受害者发送讯息，告知他们所需支付的赎金金额及付款指示。 通常黑客会要求受害者支付追踪风险较低的加密货币，其中比特币最为常见。

由于勒索病毒是一种高利润、低风险的攻击方式，因此在黑客之间相当受欢迎，也是2022年最常见的恶意程序。 根据统计，光是2022年上半，全球就有2亿3千6百万起勒索病毒攻击，2022年6月，意大利巴勒摩市（Palermo）的市府网路更是因为勒索病毒被迫关闭网站，约造成130多万市民和游客受影响。

勒索病毒的种类

勒索病毒的攻击手法和技术不断地更新，使网络威胁日益俱增。 以下内容，笔者先带您认识常见的勒索病毒入侵手段与种类

常见勒索病毒入侵手段

1.钓鱼信件/手机消息： 利用社交工程技巧，黑客会诱使受害者自主点击恶意链接或附件。 例如伪装成可信赖寄件人或企业，向受害者发送钓鱼邮件，让受害者降低戒心，帮助勒索病毒进入系统。 

2. 不安全的链接： 黑客会在网络上散布恶意网站或放置病毒连结的方式，当使用者不小心点入，勒索病毒就会透过程式码传送至受害者的系统中。 

3. 恶意文件： 黑客会将勒索病毒隐藏在看似无害的档案中，例如压缩文件、可执行文件或各类文档。 当受害者下载并执行这些档案时，勒索病毒就会被释放。 

4. 通过漏洞入侵计算机： 黑客会通过已知的系统或软件漏洞，针对受害者的弱点进行入侵，并在受害者的系统中安装勒索病毒

常见勒索病毒后缀

1. mallox家族：（后缀：rmallox、hmallox) 主要通过软件漏洞、系统漏洞来传播，再利用加密技术进行勒索。mallox相比其他勒索病毒，很积极地在进化、变异，部分还会出现 DoS 攻击。 

2. makop:(后缀：.[xxxxxxxx].[RestoreBackup@cock.li].SRC、[xxxxxxxx].[hudsonL@cock.li].mkp、[xxxxxxxx].[datastore@cyberfear.com].mkp、[xxxxxxxx].[myers@airmail.cc].mkp) mallox与 mallox类似，都是软件漏洞、系统漏洞感染电脑，但特别的是，makop使用了强大的加密算法，通常受害者无法自行破解，因此会面临一定要支付赎金的困境。

3. Jigsaw： Jigsaw 是手法罕见的勒索软件，因使用恐怖电影《夺魂锯》（Saw） 的手法而得名。 Jigsaw 会在每小时或系统重新启动时，删除一批受害者的档案。 这种方式会使受害者面临持续增加的心理恐惧与压力，因为档案会依据时间或抢救行动一一被删除。 

4. WannaCry： WannaCry 的特点是传播速度非常快且大规模。 WannaCry 会利用Windows 系统中的漏洞进行攻击，不仅会加密了受感染系统上的文件，也会尝试在网络中寻找其他相似的系统进行感染。

中勒索病毒的前兆

上述提到的勒索病毒防不胜防，因此定期检查电脑和系统状况是必要的行为。 那么，我们该如何辨识电脑是否遭受勒索病毒的攻击呢？

中勒索病毒会有个明显的前兆：文件扩展名被更改、出现乱码、无法开启，以及目录出现 .hmallox、. rmallox、.[xxxxxxxx].[RestoreBackup@cock.li].SRC或[xxxxxxxx].[hudsonL@cock.li].mkp等副档名。 出现这些时，就表示自己已成为勒索病毒的受害者。 通常勒索病毒会锁定以下文件类型作为目标，您可以注意这些文件的扩展名是否被更改：

• Microsoft Office：.xlsx、. docx、. pptx （和较旧的版本）
• 图像影像:.png、. jpeg、. gif、. dwg、.avi、. m4a、. mp4
• 资料:.sql与 .ai
• 数据库：.mdf、.dat、ibdata、.DBF、.DMP、.BAK由于这些档案通常具有企业的重要业务资料，因此必须随时保持警觉心，以避免日后不可估计的损失。

勒索病毒防范！ 五大措施教给你

对抗勒索病毒最有效的防范方法就是提升个人和企业的资安意识，并采取以下措施：

定期备份档案

养成备份资料的习惯，并做好灾难复原的准备，是对抗勒索病毒的必要步骤。 备份档案有两种常见的做法：一是定期将档案上传至云端，以减少病毒对档案的影响; 二是使用异地备援，在另一地点建立服务器、储存装置等设备，进行企业重要数据备份，提供实时运转的功能。 对于企业而言，异地备援是非常值得推荐的方式。

谨慎上网

1. 不任意打开不明的信件或点击信中的链接与附件。
2. 不下载非法软件或不明程序。
3. 不要启用 Office 文件的宏，可考虑安装不支持宏功能的 Office Viewer 软件。
4. 不点击不安全的网站链接

使用手机也一样有中勒索病毒的风险，因此无论使用什么设备都必须谨记以上四「不」骤。

更新防毒软件

安装防毒软件是相当基本的防护方式，除了定期更新电脑及手机的防毒软件之外，也建议网络使用者架设WAF（网站应用程序防火墙）来保护网站。 WAF 能通过监测网站传输的 HTTP/S 流量，过滤可疑流量并封锁，在恶意流量进入网站之前进行拦截，保护网站不受黑客攻击。

 更新程序和操作系统

由于许多勒索病毒都是利用系统漏洞进行入侵（例如上述提到的 WannaCry），因此定期更新程序和操作系统来修补漏洞，是最有效预防新型病毒的措施。 从官方网站上的更新目录下载相关更新软件，补丁或操作系统，都可以大幅减少入侵风险。

使用监控和警示系统

采用监控和警示系统以确保公司或个人电脑的安全，并在侦测到可疑迹象时及时做出回应，是降低资安风险的重要措施。

三种感染勒索病毒的紧急处理方法

大部分受害者在档案被加密后，是无法自行进行解密的，而黑客也会以尚未收到赎金就销毁档案的理由持续威胁，使受害者不堪其扰。 对于感染勒索病毒的解方，切勿轻易支付赎金！（技术：data_119)应先采取以下三种行动：

立即中断受黑主机网络连线

一但注意到了中勒索病毒的前兆，就必须当机立断，强迫电脑关机或是立即断网，减少被加密的档案的数量。 另外，也不要重新开启主机，以免加密程序持续进行。 若已收到勒索讯息，应立即通报警方与相关机构。 政府在2021年推出了由TWCERT/CC创建的勒索软件防护专区，供台湾企业组织使用。 对于电脑受到勒索的情况，该专区必能提供相关的协助与指导。

寻找专家协助

您可以寻找可信任专家、资安公司提供的解密工具破解勒索病毒，有些防毒软件公司都有提供万用解密密钥，但当然，并非对所有病毒都有效，因此也要记得妥善保留被骇计算机，让专业人士能进一步分析勒索病毒种类，提供适合的对策。

以下有三种勒索病毒的破解方法：

1. 奥义智能在官方英文博客上，宣布已于 GitHub 发布 Prometheus。 针对 Prometheus 勒索软件解密的工具，遭受此勒索软件的受害者可自行破解加密的档案。 Prometheus Decryptor Github 下载地址
2. Emsisoft 是 Windj hows PC 上最受好评的勒索病毒解密软件 Emsisoft 也有其他免费的专用工具可用于破解各种勒索软件，例如 PClock、CryptoDefense、CrypBoss、DMA Locker、Xorist、Apocalypse、WannaCryFake、Cyborg 等。 Emsisoft 下载地址
3. Avast 反勒索软件工具不仅易于安装和使用，也不需要任何特殊设置，只需下载 zip 文档并解压缩，以管理员身份执行应用程序。 Avast 可以扫描磁盘上加密文件可能所在的位置，例如本地或网络驱动程序以及自定义文件夹，并根据已知的文件格式来验证文件在解密过程中是否成功解密。 Avast 解密工具下载地址

重灌电脑

如果您的手上有备份档案，且太多档案已经被勒索病毒加密，可以考虑直接重灌电脑。 进行重灌时，也要记得一并进行系统和程序的更新，以修补漏洞，避免再次感染勒索病毒。