Mark+Hachman++Charles

常識、備份、主動防護(hù)和自動清除工具相結(jié)合，能夠有力地防御日益猖獗的勒索軟件，甚至是最近的Petya攻擊。

勒索軟件并不像普通惡意軟件那樣偷偷潛入到您計(jì)算機(jī)中。它會突然出現(xiàn)，用槍指著您的數(shù)據(jù)，尖叫著要現(xiàn)金或者其他的東西。如果您不學(xué)會保護(hù)自己，正如Petya（或者NotPetya）爆發(fā)所展示的，這會一再發(fā)生。

Petya是一種類似于一小段惡意軟件的勒索軟件，最近攻擊了烏克蘭和全球的其他一些網(wǎng)站，對文件進(jìn)行加密，直到拿到贖金。而研究人員迅速做出響應(yīng)，阻止了這些勒索軟件的傳播——它們也被稱為Petrwrap、exPetr、Petna和SortaPetya。實(shí)際上并沒有真正的好方法來清除Petya勒索軟件，但研究人員想出了一個(gè)辦法讓您的計(jì)算機(jī)獲得“免疫”，惡意軟件公司已經(jīng)在努力去阻止這些勒索軟件。

Petya是過去兩個(gè)月中第二次勒索軟件的大爆發(fā)，之前是WannaCry，它看起來是利用了國家安全局開發(fā)的軟件，后來變成了惡意軟件。它攻擊了英國國家健康服務(wù)中心以及其他一些銀行和機(jī)構(gòu)。

武裝起來的數(shù)字大盜團(tuán)伙游蕩在信息高速公路上，這聽起來像一個(gè)緊張的動作片，但數(shù)字說的沒錯：據(jù)Sonicwall，勒索軟件攻擊從2015年的380萬次上升到2016年的6億3800萬次，同比增長167倍——而惡意軟件攻擊次數(shù)在下降。能要現(xiàn)金的時(shí)候，為什么要偷數(shù)據(jù)呢？

最近在舊金山舉行的RSA安全會議有史以來第一次召開了為期一天的勒索軟件研討會，詳細(xì)介紹了誰被攻擊，他們交了多少錢，更重要的是，如何阻止、清除勒索軟件，還有怎樣與拿著您的數(shù)據(jù)作為人質(zhì)的騙子們進(jìn)行談判。我們得到了一些寶貴的信息，您可以用于制定反勒索軟件策略。

Malwarebytes等反勒索軟件解決方案能夠可靠的對討厭的軟件進(jìn)行更強(qiáng)的防護(hù)，但并非萬無一失。

準(zhǔn)備好應(yīng)對Petya

據(jù)BleepingComputer.com，Petya/NotPetya/KindaPetya這些勒索軟件如果發(fā)現(xiàn)有名為“perfc”的本地文件，它們實(shí)際上不會加密您計(jì)算機(jī)的文件。幸運(yùn)的是，如果您創(chuàng)建這個(gè)文件，Petya就不會運(yùn)行。

BleepingComputer介紹了究竟怎樣創(chuàng)建perfc文件（簡單講，復(fù)制一個(gè)notepad.exe，重命名為perfc，然后使其只讀），還提供了一個(gè)幫助您完成這一工作的批處理文件的鏈接。好在只要一分鐘的時(shí)間就能夠手動創(chuàng)建perfc文件，而批處理文件的確創(chuàng)建了相關(guān)的.dat和.dll文件，目的是進(jìn)一步確保Petya不會感染您的計(jì)算機(jī)。

勒索軟件專打您最疼的地方——做好準(zhǔn)備吧

三年前，我妻子的計(jì)算機(jī)被勒索軟件入侵了，危及到孩子的照片、稅務(wù)文件和其他個(gè)人資料。我的心很沉重：為了避免失去我們的數(shù)字化生活，我們要付出幾百美元嗎？謝天謝地，沒有——因?yàn)槲覀円呀?jīng)采取了專家推薦的大部分措施。

第一步：了解您的敵人。據(jù)英特爾安全EMEA地區(qū)業(yè)務(wù)首席技術(shù)官Raj Samani，400多個(gè)家庭成為勒索軟件的受害者——有些甚至是Mac OS和Linux用戶。Datto的調(diào)查發(fā)現(xiàn)，CryptoLocker采用時(shí)間鎖定加密方法獲取并鎖上您的個(gè)人文件，這是迄今為止最常見的攻擊方式。但是有不同的形式。據(jù)SentinelOne安全戰(zhàn)略主任Jeremiah Grossman介紹，有人控制了受害者的網(wǎng)絡(luò)攝像頭，捕捉到令人尷尬的畫面，威脅要將其公布于網(wǎng)上。

一些常識性的習(xí)慣可以幫助您盡可能不會暴露給惡意軟件和勒索軟件，專家說：

通過Windows更新保持您的計(jì)算機(jī)最新。WannaCry甚至都不去攻擊Windows 10，而是選擇Windows XP和其他老版本的Windows操作系統(tǒng)。

確保您有主動防火墻和反惡意軟件解決方案。Windows防火墻和Windows Defender還不夠，最好能采用好的第三方反惡意軟件解決方案。已經(jīng)提供了WannaCry補(bǔ)丁，甚至是針對Windows 8和Windows XP的。

但是，不要依靠反惡意軟件來拯救您自己。專家在RSA研討會上提醒與會者，防病毒公司只是剛剛開始著手處理勒索軟件，他們的保護(hù)也沒有得到保證。

確保禁用了Adobe Flash，或者采用谷歌Chrome這樣的瀏覽器上網(wǎng)，默認(rèn)情況下禁用它。

如果啟用了Office宏，那么禁用它們。（在Office 2016中，您可以從Trust Center > Macro Settings中，或者在頂部搜索框輸入“macros”，然后打開“Security”對話框，確保已經(jīng)禁用了它們。）

不要打開有問題的鏈接，不論是網(wǎng)頁上的，還是電子郵件中的。您遇到的勒索軟件最常見的攻擊方式是點(diǎn)擊一個(gè)惡意鏈接。更糟糕的是，Datto跟蹤的大約三分之二的感染發(fā)生在多臺計(jì)算機(jī)上，這說明被感染的用戶轉(zhuǎn)發(fā)了鏈接，更多的人被感染了。

同樣的，遠(yuǎn)離互聯(lián)網(wǎng)上的那些壞地方。如果您不小心，合法站點(diǎn)上的壞廣告也會注入惡意軟件，如果去了不該去的地方，風(fēng)險(xiǎn)就會更大。

對于專用的反惡意軟件保護(hù)，可以考慮Malwarebytes 3.0，它宣稱能夠?qū)估账鬈浖ansomFree還開發(fā)了所謂的反勒索軟件保護(hù)。然而，反惡意軟件程序通常會為其付費(fèi)商業(yè)套件預(yù)留反勒索軟件功能。您可以下載免費(fèi)的反勒索軟件保護(hù)程序，例如，Bitdefender的反勒索軟件工具，但它只保護(hù)您不受四種常見勒索軟件變種的危害。卡巴斯基還聲稱，通過其System Watcher組件，簡單的進(jìn)行回滾修改，就可以阻止Petya或者Petrwrap（不管它最終叫什么名字）。

好但還不太完美的防護(hù)：備份

勒索軟件加密并鎖上您最珍貴的文件——所以沒有理由讓這些文件那么脆弱。將其進(jìn)行備份是不錯的策略。

利用Box、OneDrive、Google Drive等提供的免費(fèi)存儲，經(jīng)常性地備份您的數(shù)據(jù)。（要注意——如果您行動不夠迅速，您的云服務(wù)也可能會備份受感染的文件）。更好的是，買一塊外部硬盤——希捷1TB硬盤只有55美元左右，從而加上一些不經(jīng)常訪問的“冷備份”。經(jīng)常執(zhí)行增量式備份，然后取下硬盤，隔離數(shù)據(jù)副本。

如果您的數(shù)據(jù)進(jìn)行了在線備份，您會感覺好很多。

如果您被感染了，勒索軟件可能讓您通過File Explorer清楚地看到哪些文件被劫持了。一條線索是普通的.DOC或者.DOCX文件有了奇怪的擴(kuò)展名。Avast首席技術(shù)官Ondrej Vlcek提出了一個(gè)不太“直觀”的建議：如果勒索軟件不是時(shí)間鎖定的，您不是馬上需要這些文件，那就先不管這些文件。（不過，在另一臺計(jì)算機(jī)上工作）。您的防病毒解決方案有可能在開發(fā)出應(yīng)對措施后解鎖這些文件。

然而，備份并不是萬無一失的。例如，您可能需要研究怎樣備份保存的游戲和其他不適合歸類為“文檔”或者“照片”的文件。一些實(shí)用程序和其他自定義的應(yīng)用程序也是如此。

如果您被勒索軟件感染了怎么辦

您怎么知道自己計(jì)算機(jī)上有勒索軟件？相信我們，您會知道的。破碎的城堡指環(huán)等勒索軟件會“警告”您的計(jì)算機(jī)里有兒童色情相關(guān)的東西，大多數(shù)勒索軟件給人的印象就是引起壓力和恐懼。

不要驚慌。首先您應(yīng)該聯(lián)系有關(guān)部門，包括警察和相關(guān)的互聯(lián)網(wǎng)犯罪投訴中心。然后通過查看目錄并確定哪些用戶文件被感染了，知道問題有多嚴(yán)重。（如果您的確發(fā)現(xiàn)您的文件有奇怪的擴(kuò)展名，試一試把它們改回來——一些勒索軟件使用“假”加密，僅僅改變了文件名稱，并沒有真正加密。）

下一步？識別并清除。如果您有一個(gè)付費(fèi)的反惡意軟件解決方案，那么掃描您的硬盤，聯(lián)系您的供應(yīng)商技術(shù)支持和幫助論壇。另一個(gè)非常好的資源是NoMoreRansom.com的Crypto-Sheriff，這是英特爾、Interpol和卡巴斯基實(shí)驗(yàn)室資源和勒索軟件卸載程序的匯總，可以幫助您采用清除工具從自己的系統(tǒng)中清除掉勒索軟件。

NoMoreRansom.org的Crypto-Sheriff網(wǎng)站主頁包括一個(gè)用于發(fā)現(xiàn)什么樣的勒索軟件感染了您計(jì)算機(jī)的簡單工具。

如果一切都失敗了

不幸的是，專家們說，關(guān)鍵問題是我們應(yīng)該付贖金，還是冒著失去一切的風(fēng)險(xiǎn)？——通常需要掏錢才能解決。如果您清除不掉勒索軟件，那就不得不考慮您的數(shù)據(jù)有多重要，是不是經(jīng)常需要這些數(shù)據(jù)。Datto的2016年調(diào)查顯示，42%的小企業(yè)因?yàn)樵馐芾账鬈浖舳哆^贖金。

微軟

從2015年12月至2016年5月，Tescrypt是微軟檢測到的最常見的勒索軟件變種。

記住，在惡意軟件的另一端，有一個(gè)人虎視眈眈的要?dú)У裟纳?。如果能有方法?lián)系上勒索軟件作者，專家建議您試一試。別指望能說服他們會免費(fèi)解密您的文件。勒索軟件作者首先是騙子，但也是商人，您總是可以嘗試要求延長一些時(shí)間，或者降低一些贖金。如果沒有別的辦法，Grossman說，不妨談一談所謂的“人格擔(dān)?！薄锓改芴峁┦裁礃拥谋ＷC，讓您找回自己的數(shù)據(jù)？（在Datto調(diào)查的公司中，約有四分之一沒有找回?cái)?shù)據(jù)。）

不過請記住，預(yù)防、復(fù)制和備份措施不過是給您多了一些選擇。如果您的原始數(shù)據(jù)保存在其他地方，您所需要做的就是重置自己的計(jì)算機(jī)，重新安裝您的應(yīng)用程序，并從備份中恢復(fù)您的數(shù)據(jù)。

別讓這發(fā)生在

您身上

對于我的情況，我的妻子和我發(fā)現(xiàn)我們已經(jīng)把一切重要的東西都備份到了云服務(wù)和外部硬盤上。我們失去的只是一個(gè)晚上幾個(gè)小時(shí)的時(shí)間，包括重置她的計(jì)算機(jī)。

勒索軟件能夠以多種方式感染您的計(jì)算機(jī)：一個(gè)新的應(yīng)用程序，一個(gè)基于Flash的游戲網(wǎng)站，一次意外的點(diǎn)擊不良廣告。在我們的例子中，一定要記住，不管怎樣都不要隨便去點(diǎn)擊——我們只是因?yàn)椤芭笥选蓖扑]了一些購物網(wǎng)站。我們也把這些教訓(xùn)講給孩子們聽。

勒索軟件給人的是令人不安的提醒，有人會傷害你，而這種不幸可能隨時(shí)發(fā)生。如果您把自己的計(jì)算機(jī)當(dāng)成家的一部分，進(jìn)行清潔、維護(hù)、防止外來威脅，那么你就會清楚地知道自己已經(jīng)為最壞的情況做好了準(zhǔn)備。

Mark Hachman——資深編輯，專注于微軟新聞和芯片技術(shù)，以及其他相關(guān)主題。

原文網(wǎng)址：

http：//www.pcworld.com/article/3169524/security/how-to-remove-ransomware-use-this-battle-plan-to-fight-back.html