小心「加密勒索軟件」　做好數據保護

什麼是「加密勒索軟件」？

加密勒索軟件主要透過釣魚電郵感染電腦，將用戶電腦的檔案或內聯網檔案加密，並要求用戶支付贖金來換取解密密鑰。

加強保安意識　小心「加密勒索軟件」

自從去年2013年10月，一個知名加密勒索軟件 CryptoLocker 的出現，據報香港有多間中小企業公司的電腦受感染而檔案被加密，由於無法取得密鑰和沒有資料備份，被加密的檔案無法進行回復，導致公司的運作受到嚴重影響。

由於 CryptoLocker 運作模式取得成功，令到加密勒索軟件正在增加。以下列出近期活躍的加密勒索軟件

• Bitcrypt (2014年2月)
• CryptoDefense (2014年3月)

最近，香港電腦保安事故協調中心 (HKCERT) 已收到數個有關 CryptoDefense 事故個案，我們認為 CryptoDefense 已開始在香港傳播。除了釣魚電郵，CryptoDefense 亦會透過其他途徑來進行傳播，包括P2P程式分享檔案，更新虛假 flash player，及安裝虛假網絡媒體播放器等。

圖) CryptoDefense 的勒索截圖

回復 CryptoDefense 加密檔案

CryptoDefense 與 CryptoLocker 的加密模式相似，不過 CryptoDefense 在以下的情況有可能成功回復檔案。

1. 在2014年4月1日前受感受，用戶有機會回復加密檔案。由於初期版本的 CryptoDefense 曾經出現錯誤，把解密密鑰留在受感染的電腦內，所以用戶可透過 Emsisoft Decryptor 程式# 進行回復。
   詳情：http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information#emsisoft (英文)
    
2. 如果用戶的電腦使用了磁碟區陰影複製服務 (Shadow Volume Copy Service)*，CryptoDefense 會刪除所有回復版本 (Previous Versions)，導致檔案不能回復。不過，透過 Shadow Explorer 程式#，用戶可以打開磁碟區陰影並進行回復。
   詳情：http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information#shadow (英文)

如果用戶並不是以上兩項情況，用戶就必須透過之前的備份進行回復。

HKCERT 建議

1.注意可疑電郵，不要隨意打開電郵附件，特別是壓縮檔 (.zip,.7zip) 或執行檔 (.exe)

2.安裝保安程式及更新最近的保安定義 #

3.對重要的檔案進行及時和定時備份。備份檔案應存放在安全的位置，避免受惡意程式影響。

想了解保護數據的管理，請參考 數據保護指引。

# 在安裝軟體之前，請先瀏覽軟體供應商之網站，以獲得更多詳細資料。

* 磁碟區陰影複製服務: http://en.wikipedia.org/wiki/Shadow_Copy (英文)