怎樣清除勒索軟件？用作戰計劃進行反擊！

Mark+Hachman++Charles

常識、備份、主動防護和自動清除工具相結合，能夠有力地防御日益猖獗的勒索軟件，甚至是最近的Petya攻擊。

勒索軟件并不像普通惡意軟件那樣偷偷潛入到您計算機中。它會突然出現，用槍指著您的數據，尖叫著要現金或者其他的東西。如果您不學會保護自己，正如Petya（或者NotPetya）爆發所展示的，這會一再發生。

Petya是一種類似于一小段惡意軟件的勒索軟件，最近攻擊了烏克蘭和全球的其他一些網站，對文件進行加密，直到拿到贖金。而研究人員迅速做出響應，阻止了這些勒索軟件的傳播——它們也被稱為Petrwrap、exPetr、Petna和SortaPetya。實際上并沒有真正的好方法來清除Petya勒索軟件，但研究人員想出了一個辦法讓您的計算機獲得“免疫”，惡意軟件公司已經在努力去阻止這些勒索軟件。

Petya是過去兩個月中第二次勒索軟件的大爆發，之前是WannaCry，它看起來是利用了國家安全局開發的軟件，后來變成了惡意軟件。它攻擊了英國國家健康服務中心以及其他一些銀行和機構。

武裝起來的數字大盜團伙游蕩在信息高速公路上，這聽起來像一個緊張的動作片，但數字說的沒錯：據Sonicwall，勒索軟件攻擊從2015年的380萬次上升到2016年的6億3800萬次，同比增長167倍——而惡意軟件攻擊次數在下降。能要現金的時候，為什么要偷數據呢？

最近在舊金山舉行的RSA安全會議有史以來第一次召開了為期一天的勒索軟件研討會，詳細介紹了誰被攻擊，他們交了多少錢，更重要的是，如何阻止、清除勒索軟件，還有怎樣與拿著您的數據作為人質的騙子們進行談判。我們得到了一些寶貴的信息，您可以用于制定反勒索軟件策略。

Malwarebytes等反勒索軟件解決方案能夠可靠的對討厭的軟件進行更強的防護，但并非萬無一失。

準備好應對Petya

據BleepingComputer.com，Petya/NotPetya/KindaPetya這些勒索軟件如果發現有名為“perfc”的本地文件，它們實際上不會加密您計算機的文件。幸運的是，如果您創建這個文件，Petya就不會運行。

BleepingComputer介紹了究竟怎樣創建perfc文件（簡單講，復制一個notepad.exe，重命名為perfc，然后使其只讀），還提供了一個幫助您完成這一工作的批處理文件的鏈接。好在只要一分鐘的時間就能夠手動創建perfc文件，而批處理文件的確創建了相關的.dat和.dll文件，目的是進一步確保Petya不會感染您的計算機。

勒索軟件專打您最疼的地方——做好準備吧

三年前，我妻子的計算機被勒索軟件入侵了，危及到孩子的照片、稅務文件和其他個人資料。我的心很沉重：為了避免失去我們的數字化生活，我們要付出幾百美元嗎？謝天謝地，沒有——因為我們已經采取了專家推薦的大部分措施。

第一步：了解您的敵人。據英特爾安全EMEA地區業務首席技術官Raj Samani，400多個家庭成為勒索軟件的受害者——有些甚至是Mac OS和Linux用戶。Datto的調查發現，CryptoLocker采用時間鎖定加密方法獲取并鎖上您的個人文件，這是迄今為止最常見的攻擊方式。但是有不同的形式。據SentinelOne安全戰略主任Jeremiah Grossman介紹，有人控制了受害者的網絡攝像頭，捕捉到令人尷尬的畫面，威脅要將其公布于網上。

一些常識性的習慣可以幫助您盡可能不會暴露給惡意軟件和勒索軟件，專家說：

通過Windows更新保持您的計算機最新。WannaCry甚至都不去攻擊Windows 10，而是選擇Windows XP和其他老版本的Windows操作系統。

確保您有主動防火墻和反惡意軟件解決方案。Windows防火墻和Windows Defender還不夠，最好能采用好的第三方反惡意軟件解決方案。已經提供了WannaCry補丁，甚至是針對Windows 8和Windows XP的。

但是，不要依靠反惡意軟件來拯救您自己。專家在RSA研討會上提醒與會者，防病毒公司只是剛剛開始著手處理勒索軟件，他們的保護也沒有得到保證。

確保禁用了Adobe Flash，或者采用谷歌Chrome這樣的瀏覽器上網，默認情況下禁用它。

如果啟用了Office宏，那么禁用它們。（在Office 2016中，您可以從Trust Center > Macro Settings中，或者在頂部搜索框輸入“macros”，然后打開“Security”對話框，確保已經禁用了它們。）

不要打開有問題的鏈接，不論是網頁上的，還是電子郵件中的。您遇到的勒索軟件最常見的攻擊方式是點擊一個惡意鏈接。更糟糕的是，Datto跟蹤的大約三分之二的感染發生在多臺計算機上，這說明被感染的用戶轉發了鏈接，更多的人被感染了。

同樣的，遠離互聯網上的那些壞地方。如果您不小心，合法站點上的壞廣告也會注入惡意軟件，如果去了不該去的地方，風險就會更大。

對于專用的反惡意軟件保護，可以考慮Malwarebytes 3.0，它宣稱能夠對抗勒索軟件。RansomFree還開發了所謂的反勒索軟件保護。然而，反惡意軟件程序通常會為其付費商業套件預留反勒索軟件功能。您可以下載免費的反勒索軟件保護程序，例如，Bitdefender的反勒索軟件工具，但它只保護您不受四種常見勒索軟件變種的危害。卡巴斯基還聲稱，通過其System Watcher組件，簡單的進行回滾修改，就可以阻止Petya或者Petrwrap（不管它最終叫什么名字）。

好但還不太完美的防護：備份

勒索軟件加密并鎖上您最珍貴的文件——所以沒有理由讓這些文件那么脆弱。將其進行備份是不錯的策略。

利用Box、OneDrive、Google Drive等提供的免費存儲，經常性地備份您的數據。（要注意——如果您行動不夠迅速，您的云服務也可能會備份受感染的文件）。更好的是，買一塊外部硬盤——希捷1TB硬盤只有55美元左右，從而加上一些不經常訪問的“冷備份”。經常執行增量式備份，然后取下硬盤，隔離數據副本。

如果您的數據進行了在線備份，您會感覺好很多。

如果您被感染了，勒索軟件可能讓您通過File Explorer清楚地看到哪些文件被劫持了。一條線索是普通的.DOC或者.DOCX文件有了奇怪的擴展名。Avast首席技術官Ondrej Vlcek提出了一個不太“直觀”的建議：如果勒索軟件不是時間鎖定的，您不是馬上需要這些文件，那就先不管這些文件。（不過，在另一臺計算機上工作）。您的防病毒解決方案有可能在開發出應對措施后解鎖這些文件。

然而，備份并不是萬無一失的。例如，您可能需要研究怎樣備份保存的游戲和其他不適合歸類為“文檔”或者“照片”的文件。一些實用程序和其他自定義的應用程序也是如此。

如果您被勒索軟件感染了怎么辦

您怎么知道自己計算機上有勒索軟件？相信我們，您會知道的。破碎的城堡指環等勒索軟件會“警告”您的計算機里有兒童色情相關的東西，大多數勒索軟件給人的印象就是引起壓力和恐懼。

不要驚慌。首先您應該聯系有關部門，包括警察和相關的互聯網犯罪投訴中心。然后通過查看目錄并確定哪些用戶文件被感染了，知道問題有多嚴重。（如果您的確發現您的文件有奇怪的擴展名，試一試把它們改回來——一些勒索軟件使用“假”加密，僅僅改變了文件名稱，并沒有真正加密。）

下一步？識別并清除。如果您有一個付費的反惡意軟件解決方案，那么掃描您的硬盤，聯系您的供應商技術支持和幫助論壇。另一個非常好的資源是NoMoreRansom.com的Crypto-Sheriff，這是英特爾、Interpol和卡巴斯基實驗室資源和勒索軟件卸載程序的匯總，可以幫助您采用清除工具從自己的系統中清除掉勒索軟件。

NoMoreRansom.org的Crypto-Sheriff網站主頁包括一個用于發現什么樣的勒索軟件感染了您計算機的簡單工具。

如果一切都失敗了

不幸的是，專家們說，關鍵問題是我們應該付贖金，還是冒著失去一切的風險？——通常需要掏錢才能解決。如果您清除不掉勒索軟件，那就不得不考慮您的數據有多重要，是不是經常需要這些數據。Datto的2016年調查顯示，42%的小企業因為遭受勒索軟件攻擊而付過贖金。

微軟

從2015年12月至2016年5月，Tescrypt是微軟檢測到的最常見的勒索軟件變種。

記住，在惡意軟件的另一端，有一個人虎視眈眈的要毀掉您的生活。如果能有方法聯系上勒索軟件作者，專家建議您試一試。別指望能說服他們會免費解密您的文件。勒索軟件作者首先是騙子，但也是商人，您總是可以嘗試要求延長一些時間，或者降低一些贖金。如果沒有別的辦法，Grossman說，不妨談一談所謂的“人格擔保”——罪犯能提供什么樣的保證，讓您找回自己的數據？（在Datto調查的公司中，約有四分之一沒有找回數據。）

不過請記住，預防、復制和備份措施不過是給您多了一些選擇。如果您的原始數據保存在其他地方，您所需要做的就是重置自己的計算機，重新安裝您的應用程序，并從備份中恢復您的數據。

別讓這發生在

您身上

對于我的情況，我的妻子和我發現我們已經把一切重要的東西都備份到了云服務和外部硬盤上。我們失去的只是一個晚上幾個小時的時間，包括重置她的計算機。

勒索軟件能夠以多種方式感染您的計算機：一個新的應用程序，一個基于Flash的游戲網站，一次意外的點擊不良廣告。在我們的例子中，一定要記住，不管怎樣都不要隨便去點擊——我們只是因為“朋友”推薦了一些購物網站。我們也把這些教訓講給孩子們聽。

勒索軟件給人的是令人不安的提醒，有人會傷害你，而這種不幸可能隨時發生。如果您把自己的計算機當成家的一部分，進行清潔、維護、防止外來威脅，那么你就會清楚地知道自己已經為最壞的情況做好了準備。

Mark Hachman——資深編輯，專注于微軟新聞和芯片技術，以及其他相關主題。

原文網址：

http：//www.pcworld.com/article/3169524/security/how-to-remove-ransomware-use-this-battle-plan-to-fight-back.html