近年，台灣地區不少企業紛紛遭受到Cryptolocker病毒侵襲，這隻病毒不同於過往病毒的模式，它發病後並不會將電腦資料摧毀，而是將重要的資料全都加密，並要求受害人在72小時內支付「贖金」，否則就再也無法解密電腦中的資料。ASRC研究中心與中華數位科技發現，這支病毒其實早在2013年9月份已經在許多地區流竄，直到近期，台灣部份企業才開始感受到它的威脅。

 

如果Cryptolocker的程式被執行了，它首先會先將本體程式搬動並設為隱藏，接著改動註冊表成為開機自動執行的程式。接著它會搭配系統時間，依一定規則產生多半為14位英文字母的檔名，並搭配.com、.net、.biz、.ru、.org、.co.uk、.info頂級域名試圖進行對外連往外部的控制主機(Command and Control Server)，因此難以設定特定的domain或IP規則阻擋Cryptolocker對外的連線。

 

目前已有零星災情傳出，有診所因為重要檔案被加密無法解除，導致重要資料毀損無法使用。

為避免上述情況發生，請依預防方法確實檢查院內電腦以減少重要資料毀損情事發生。

檔案加密勒索病毒CryptoLocker(舊版)可透過https://www.decryptcryptolocker.com/解密檔案後恢復資料。

檔案加密勒索病毒 TorrentLocker 及 Crypt0L0cker(新版)為2015年4月開始出現的加密勒索病毒進化版，截止今日仍無回復被加密檔案的方法出現。

 

加密勒索病毒影響檔案類型：*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

 

感染途徑確認為Drive-by download attack，會在瀏覽被改竄的惡意網站、或開啟郵件、甚至點選彈跳視窗時強制安裝病毒。

 

linux作業系統也會感染。

 

預防被Cryptolocker攻擊的方法：

 

●定時更新電腦與軟體的漏洞修補

 

●安裝防毒軟體，可以有效阻擋這類病毒並警告使用者

 

●更新下列程式至最新版本：Java、Adobe Reader、Adobe Flash Player

 

●定期備份重要資料，以降低傷害程度；備份資料宜以光碟、隨身硬碟方式備份，備份完畢後務必將儲存媒體另外收納，勿與電腦連接

 

●保持警覺，不隨意開啟不明郵件中的附件檔案及不認識的網站連結。

 

●察覺電腦有執行速度變慢時，請第一時間拔除自己電腦網路，避免病毒透過網路擴散。

 

 

參閱文章：

 

緊急處理加密勒索軟體威脅7原則

http://www.ithome.com.tw/tech/101366