最開心係所有被加密過的文件都會留低一個 HOW_DECRYPT的文件, 文件主要係講如果你想救回文件可以點做, 咁當然係俾錢個Hacker!!! 由中毒那天起計一個月內如沒有俾錢就永遠救唔返D File, 頭7天內俾錢就 US$500, 7天後就 US$1000!!! 付款以Bit Coin作交易, 你必需自行購買Bit Coin再把Bit Coin匯給Hacker, 所以你係追唔到Hacker的來源, 你無需報案因為亦有人report返來話報左警, 警察話唔會理呢D Case!!!
如何查找那台電腦感染這個病毒 :
每次開機會彈出上圖畫面, 而這台電腦的 "My Document" 一定會有 Howdecrypt 等file!!!
什麼情況下會連我的Backup也被加密 :
- 如你使用 USB Harddisk 接駁電腦, 你的 USB Harddisk內所有檔案一定被加密
- 如果係Server 的Share Drive會被感染病毒的電腦把檔案加密, 如果server只做 rsync 及 daily copy backup好有機會backup埋加密左既文件
如何Backup我的文件才不會被加密及受到影響 及 最好的Backup方法 :
- Server每天均用Tape Media Backup, 同時每天均會換Tape
- Server會自行backup share folder同時keep多個version/history, 而backup location不是一個share folder可以供user進入, 那病毒更無法加密檔案, 同時因為多個version的backup 及history所以即使昨天的文件已被加密, 還有再早多幾天的可以復原
- 上面講的都是Share Drive, 那User 電腦的保障就是必需開啟VSS (Shadow Copy), 最好就是所有文件都存放於Server上
病毒是如何感染? 如何防止中毒?
- 暫時應該是由 e-Mail attachment感染回來, 任何時候都應該睇清楚個e-mail內文先好開啟attachment附件, 很多user都不會插入 hyperlink連結到e-mail內, 不要見link就click, 男同事就不要色字頭上一把刀見到似係咸相就click落去
基本上所有人包括你老闆sent給你的e-mail都有機會係由virus假扮, 常見的virus sender包括有Express公司 (Fedex, TNT, DHL, UPS), 銀行, Yahoo, Hotmail, Microsoft, PCCW等等!!!
已知今天病毒的附件係一個假既 PDF檔案附件, Icon圖示及Filename都與PDF相同, 其實係一個病毒, 而成個e-mail係假扮 Copier的 Scan to E-Mail, 呃你去click!!
PS : 最後我幫個客買Bit Coin取回加密Key才可以救回所有文件 (約花了 HK$5000) , 仲未計我收佢既費用, 約莫攪左20個Working Hours!
HISTORY / CASE :
- 第一個客中毒約莫係5-Apr-2014, 9-Apr-2014已付錢買Key, 到9-May-2014仲未decrypt返晒所有file (主因係一台電腦中毒, 星期五放工沒關機, 到星期一返工時全Server文件被加密了, 病毒加密所有文件用了三天, 買key解密用左一個月30 x 24都未解密完) <9-Apr-2014>
- 已發郵件給所有客戶, 通知此病毒, 當然包括埋此Blog, 通知需更換可偵察的Anti-Virus及預先做備份已防萬一
- 可偵察的防病毒軟件 ESET NOD32 Anti-Virus 7 及 Symantec Endpoint Protection (註: 第一個中毒的客戶本身就係用NOD32, 中毒幾日後才能detect出來)
<9-Apr-2014>
- 第二個客中毒反應來得較快, 只有兩台Client電腦中毒, 一台電腦需新安裝Windows, 而另一台因為User沒有admin right所以不影響系統, 但電腦內的文件全部被加密, 因為反應得快, 沒影響Server, 不用買key!! <21-Apr-2014>
- 第三個客中毒並沒有Server, 只是一台PC 用share folder share文件給各同事, 中毒時間不清楚, 但因晚上沒有關機, 第二朝早上便所有文件已被加密 <9-May-2014>
Symantec Blog
http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month
沒有留言:
張貼留言