CryptXXX 勒索軟件加密受害者數據
最後更新
2016年06月07日
發佈日期:
2016年06月03日
4793
觀看次數
風險: 極高度風險
類型: 攻擊 - 惡意軟件
一種稱為 CryptXXX 的勒索軟件透過被入侵網站迅速散播。自 2016 年 5 月中,HKCERT 已接獲多宗 CryptXXX 感染求助個案。
CryptXXX 如何散播
- 被入侵網站:大部份個案均透過到訪被入侵網站受感染。這些網站主要針對使用過時或未修補的瀏覽器(如 IE)或插件(如 Flash Player)。
- 橫額廣告:我們亦觀察到某些附載於正常網站的橫額廣告亦可導致使用者裝置受感染。
影響
- CryptXXX 加密受害者電腦的檔案,並將檔案加上 .crypt、.crypz 或 .cryp1 副檔名。
- 桌面背景會變為要求繳付贖金的畫面,如下圖(轉載自 Trend Micro):
- 存放於網絡硬碟及雲端服務(如 Dropbox、Google Drive、One Drive)的檔案亦受影響。
- 被勒索軟件加密的數據將無法復原。
受影響之系統或技術
- 視窗平台
解決方案
處理受感染的裝置:
- 一旦受到感染,馬上將受感染電腦從網絡上及外置儲存裝置隔離。不要在清除惡意軟件前開啟任何檔案。
- 我們不建議支付贖金。
解密檔案:
某些防毒軟件供應商提供解密軟件。但請留意解密軟件會因 CryptXXX 不同版本/變種而不能保證所有檔案均可解密。
- 使用解密軟件前請留意:
- 在執行軟件前,請到供應商網站參考詳細資料。
- 請確保進行解密時受影響裝置被隔離,以免影響其他共享檔案夾或檔案伺服器。
- 關於解密軟件資料,請參考以下文章「聲稱能解密被 CryptXXX 加密的檔案」部份:
/my_url/blog/15050402#decryption
預防受勒索軟件影響:
- 為操作系統及軟件(包括插件)安裝最新保安更新,可減低因到訪網站受感染的風險。你亦可考慮移除不需要使用的軟件。
- 由於供應商不會為任何已終止支援的軟件(如視窗 XP)提供保安更新,請停止使用這些軟件。
- 確保更新電腦上的保安軟件。
- 定期備份電腦上的檔案,並離線保存。
- 刪除收到的可疑電郵,尤其是包含連結或附件的。
- 部份微軟Office 檔案會要求用家啟動巨集以觀看其內容,對此類電郵附件必須提高警覺。
漏洞識別碼
- 暫無 CVE 可提供
相關連結
- /my_url/blog/15050402
- https://blog.malwarebytes.org/cybercrime/2016/05/new-wave-of-malvertising-leverages-latest-flash-exploit/
- http://blog.trendmicro.com/trendlabs-security-intelligence/will-cryptxxx-replace-teslacrypt-ransomware-shakedown/
- http://blog.checkpoint.com/2016/05/27/cryptxxx-simple-evasive-effective/
- https://www.proofpoint.com/us/threat-insight/post/cryptxxx2-ransomware-authors-strike-back-against-free-decryption-tool
分享至