各位朋友應該都清楚,近期對於電腦使用上最大的威脅,

莫過於日新月異的勒索病毒程式,

被鎖定加密的檔案,除了乖乖付費以外,大概很難解開了。

(也甚至可能付錢後根本拿不回來...)

001.png

 

這類勒索程式的感染途徑多為下列方式:

將含有 DLL、SCRIPT 或是巨集的 PDF 檔,DOCX 文書檔,ZIP 檔等,

以附加檔案方式,偽裝成重要文件寄送給使用者,

當你點開檔案後,就開啟了病毒入侵之路了,

所以還是呼籲讀者們,看到有附件的郵件,記得先將附加檔案先另存,

使用防毒軟體掃描沒問題後再行開啟,不要直接在郵件上點開執行。

 

而最近有一個新的勒索程式現身了,

" .Wallet File Virus Ransomware "

這個程式會將使用者的檔案,加密後變更為

副檔名" .Wallet "的檔案,

而這次加密的方法更進步了,同時用上 AES 與 RSA,

可以說一旦加密,除非有金鑰,完全沒有解密的一天...

 

但是除了從備份檔將檔案還原外,系統的部分如何清除乾淨?

國外網站有業者將清除方法附上教學,

這邊我們簡單將清除的方法以中文方式說明一遍,

方便讀者遇到時可以快速地處理。

 

注意!此方法須具備一定的電腦能力,而且無法保證

100%將電腦系統修復,平時還是多多備份檔案

執行步驟以前請先將 網路線 / 無線網路 中斷

 

第一步:先重開機進安全模式選單,並選擇"安全模式含命令提示字元"

WIN XP / WIN 7 的使用者,可以使用開機時持續按F8的方式叫出選單

 

WIN 10 的使用者,如果還能進入系統,那請進到左下角的 "設定"選項中,

在"更新與安全性"中,選"復原" => "立即重新啟動" => "疑難排解"

=> "進階選項" => "啟動設定" => "重新啟動",安全模式選單就會出現

 

WIN 10用戶如果無法進入系統,理論上重開機三次後也會出現"疑難排解"可以選

還是沒有的話,請準備 WIN 10 開機光碟/隨身碟

002.png  

003.png

進入指令模式後,請使用具有管理員權限的帳號登入,

然後於指令模式視窗輸入

" cd restore "  <= 切換至" restore "資料夾

" rstrui.exe "  <=  執行系統還原功能

004.png 

第二步:還原完成後,一樣再次開啟安全模式選單,

這次進入一般安全模式即可

005.png   

在一般的安全模式下,搜尋"msconfig.exe" 並執行,

然後到"啟動"分頁中找一下有哪個可疑的檔案是利用"rundll32.exe"

例如下面圖片中的範例

找到後請選擇該行並點選右下方的"停用"按鈕

接下來,重新啟動電腦

006.png 

第三步:開機完成後,利用"工作管理員"找到可疑的處理程序,並將該程序"結束工作"

工作管理員可以利用"Ctrl+Alt+Del"叫出

007.png  

第四步:準備將可疑的勒索程式從"登錄編輯程式"移除

利用"WIN"鍵+R呼叫出"執行"視窗,鍵入"regedit"並按ENTER執行,

將下列登錄碼頁面中,與.Wallet File Virus Ransomeware有關的機碼刪除

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

 

 

這樣一來,大多數的 .Wallet File Virus Ransomeware 已經移除完成

 

最後提到一點,如果你已確認資料都備份完成,其實會建議使用者,

將硬碟 FORMAT 後重新安裝系統,再利用備份還原重要檔案就好,

這樣絕對能確保硬碟內沒有 .Wallet File Virus Ransomeware 的遺毒

 

008.png  

以上為災後復原的系統修復方法

基本上,對於勒索病毒這東西的最佳對策除了勤加正確備份之外

就是調整系統安全設定與正確的安全使用習慣

這部份,使用這如果自覺程度不足、信心不夠

可以參考一下這一篇

遠離勒索病毒 趨勢科技 PC-cillin 2017 從電腦到手機 跨平台守護你的數位個資安全 

 

 

RANSOM_CERBER 會說話的 勒索病毒 主要感染症狀及建議緊急處理措施 

不裝 Flash 永保安康 !? Google 違反漏洞通報協約公告 Windows 零時差漏洞 

誠研 Pringo P232 熱昇華列印隨身印相機 耗材免費供應到機器壞掉為止?? 

輕薄機種再進化 玫瑰少女心第二代上市 ASUS ZenBook UX310UQ 閃耀登場 

Seagate SRS 資料恢復救援服務 來自硬碟原廠的技術就是比較威 !!!  

 

 

想更快追蹤到更多的更新請加入傻瓜狐狸的粉絲團

(同時請您參考如何確實的看到所有粉絲團的更新)

如果您使用的是Google+可以把我加入好友圈^^

原文發表於傻瓜狐狸的雜碎物品


arrow
arrow

    傻瓜狐狸 發表在 痞客邦 留言(0) 人氣()