關於混沌的知識：新的危險勒索軟體

惡意軟體一詞用於描述任何旨在故意損壞或破壞電子設備的有害軟體。

您的電腦幾乎肯定在某些時候必須對抗惡意軟體 - 也許是病毒、木馬或蠕蟲- 但您是否遇到過勒索軟體？

如果你經歷過，你就知道它有多危險。如果您還沒有遇到過這種情況，那麼這種情況可能會在不久的將來發生，因為勒索軟體攻擊正在快速增加。

什麼是混沌勒索軟體？

自 2021 年 6 月以來，趨勢科技研究人員一直在監控正在開發的勒索軟體建構器 Chaos。該程式在地下駭客論壇上提供，被宣傳為Ryuk的新版本，FBI 曾將其描述為歷史上最賺錢的勒索軟體。

混沌似乎不像 Ryuk 那麼危險或有效，但這並不意味著未來不會一樣。事實上，根據趨勢科技的 Monte de Jesus 和 Don Ovid Laadores 的說法，Chaos 近幾個月來經歷了快速成長。

2021 年 6 月 9 日發布的 1.0 版本似乎更像是木馬而不是勒索軟體，因為它會破壞檔案而不是實際加密檔案。

稍微複雜的 2.0 版本於 6 月 17 日發布，能夠為管理員停用 Windows 復原模式和進階選項。然而，它會覆蓋文件而不是加密文件，使受害者沒有動力支付贖金。

7月5日發布的3.0版本附有自己的解密器，能夠加密1MB以下的檔案。

8 月 5 日發布的 4.0 版本將可加密檔案的上限提高到 2MB，並為勒索軟體產生器的用戶提供了更多選擇，例如更改受害者電腦桌布的能力。

每個版本都會附帶以下勒索信，底部有比特幣錢包地址。

「您的所有檔案都已加密。您的電腦感染了勒索軟體病毒。您的檔案已加密，如果沒有我們的幫助，您將無法解密它們。我該怎麼做才能取回我的檔案？您可以購買我們的特殊解密軟體，該軟體將允許您恢復所有資料並從您的電腦中刪除勒索軟體。該軟體的價格為 1,500 美元。只能用比特幣付款」。

大致翻譯一下：

「所有文件都已加密。電腦已感染勒索軟體病毒。要取回文件，請購買特殊的解密軟體。該軟體將允許恢復所有資料並從電腦中刪除勒索軟體。該軟體的價格為 1500 美元. 付款只能用比特幣進行」。

據趨勢科技稱，儘管“不是成品”，但混沌可能“在能夠訪問惡意軟體分發和部署基礎設施的不良行為者手中”造成重大損害。

那麼如何刪除 Chaos 或類似勒索軟體呢？

• 2021 年 5 次最大的勒索軟體攻擊（迄今為止）

如何刪除混沌勒索軟體？

永遠不要相信網路犯罪分子：即使您支付贖金，他們也沒有理由解鎖您的文件。

如果您想自行刪除勒索軟體，請按以下步驟操作。

中斷網路連線

首先，您需要隔離受感染的設備，以防止勒索軟體感染網路上的其他設備。

如果您的電腦透過乙太網路連接到互聯網，請立即拔掉乙太網路電纜。如果您透過無線網路連接，則需要關閉 WiFi。有許多不同的方向可以做到這一點。

最快的解決方案是開啟飛行模式，您可以透過導航至「設定」>「網路和網際網路」來實現。按一下「網路和網際網路」頁面上的飛行模式，然後使用頂部的開關開啟飛航模式。

開啟飛航模式

中斷所有外部儲存設備

接下來，拔掉所有外部儲存裝置（可攜式硬碟、隨身碟等）以防止勒索軟體取得它們，但不要只是手動拔掉它們。

導覽至「此電腦」，右鍵點選每個已連接的設備，選擇「彈出」，然後手動拔下設備。

中斷所有外部儲存設備

您還應該登出您的雲端儲存帳戶（Microsoft OneDrive、Google Drive、Dropbox、Amazon Drive 等），以防止勒索軟體損壞或加密您的雲端資料。

辨識勒索軟體

使用其他裝置上網並在線上搜尋線索。例如，您可以輸入勒索訊息，搜尋勒索軟體提供的加密貨幣錢包位址或電子郵件。

如果沒有出現任何內容，請前往勒索軟體 ID。您可以在此輸入勒索軟體提供給您的任何電子郵件地址以供聯絡。 ID 勒索軟體隨後將識別該惡意軟體並提供有關該惡意軟體的更多詳細資訊。

勒索軟體 ID

執行解碼

一旦您識別出勒索軟體，您就可以嘗試解密您的檔案。造訪 No More Ransom Project 網站，然後點擊右上角的解密工具。

在搜尋欄中輸入已辨識勒索軟體的名稱。

如果有解密器可用，此工具將為您提供有關如何刪除已滲透到您的電腦的勒索軟體以及解鎖或恢復加密檔案的詳細說明。

Chaos 還沒有正式發行，所以當然不會有解密器。

為了說明網站的運作方式，本文將在搜尋欄中輸入「Jigsaw」 。

Jigsaw 勒索軟體有哪些解密器可用

Jigsaw 是一種創建於 2016 年的勒索軟體惡意軟體，因此可以合理地假設它已經感染了數千台電腦。

如下所示，該網站提供了幾種不同的解碼器以及如何操作的說明。

如果沒有可用於感染您電腦的勒索軟體的解密程序，最好的方法是聯絡 IT 專業人員。