3.解密失敗的話,請將硬碟留下,可以的話直接拆下保存,不行的話,請找顆硬碟對拷。目前很多無論是破解得來或是付贖金得來的解密程式需檔案在原處才可復原,因此不建議搬移,故在這邊建議對拷或直接將該硬碟封存。
雖然有些人可能會付贖金讓檔案還原,但為了不助長此風,因此若自己已有備份的話,請還是不要付贖金來了事,除非檔案真的很重要且沒備份到再考慮,畢竟也要把被撕票的可能性一起思考清楚。
Q8.中毒的話是否能請硬碟救援或防毒軟體等公司來救資料?
A:基本上每一隻病毒對應每一台電腦時加密的密碼都不同,因此真正的密碼只有作者手上才會有,在此種狀況下,也只能用暴力解法,而在位數多的狀況下,使用暴力手法是非常沒有效率的,即便用國家級的超級電腦進行運算,也需要花上非常久的時間,因此沒辦法,除非已經有解法被釋出了。
其他資訊:
◎ 目前由防毒軟體公司公開的解密工具包括:趨勢科技勒索病毒檔案解密工具、avast免費勒索軟體解密工具、ESET - 防毒軟體與間諜和程式保護(英文版)、卡巴斯基解密工具(英文)、Emsisoft解密工具(英文)、McAfee解密工具(英文) (註10)、Dr.Web(該軟體使用者可免費解密;否則須另支付一筆費用)(註11)
====================
◎ 用於辨識勒索病毒種類的網站:https://id-ransomware.malwarehunterteam.com/ 進入網站後,有三種測試方式,選擇其中一種即可。
(1). 左邊的【Ransom Note】意思就是勒索病毒提供的綁架說明檔案,比較常見的都是 html(網頁檔)、txt(筆記本檔)、jpg(圖檔) 等等。如果沒有提供任何綁架說明文件,可以跳過。
(2). 右上方的【Sample Encrypted File】意思是你被加密的檔案,請直接用下方的「瀏覽」選項,上傳隨便一個被加密的檔案。
(3). 右下方的【Addresses】意思是指地址,可以輸入綁架者提供的電子信箱位置、勒索說明檔案中提供的綁架網址。
找尋到勒索病毒的名字後,可去依關鍵字尋找解密工具,若資料庫未有建檔或無法辨識的話,可能就是變種的病毒。(註12)
====================
◎ 推測win7 一月份的安全性漏洞補丁,正是防堵此次假flash player案例中入侵的漏洞,因此建議win7使用者須連同一月份的KB3216771也一起更新。(註13)
◎ Microsoft Update目錄:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212(似乎沒有中文版,確定有英文版和日文版)
尋找該次更新版本的話,用搜尋或是直接把網址KB後面的數字改成該次版本的數字即可。
====================
註1~註4:megakotaro/mobile01補充及說明
註5:資料來源Re: [心得] 兩天內家裡兩台電腦都被勒索/Joba07/PTT
註6:同註1
註7:阿儒/mobile01補充說明
註8:同註1
註9:Chark.tw/mobile01補充說明
註10:KevinYu0504/mobile01補充及說明
註11:同註1
註12:同註10
註13:資料來源[情報] Windows Update 2017年1月份更新/hn9480412/PTT
