關於勒索病毒的常見問題與說明(內詳) - 6/2更新

================

勒索病毒種類繁多,並非僅有此款的勒索病毒,
因此以下內容並非針對「WanaCrypt0r 2.0」做解說,
而是針對「勒索病毒」的預防做介紹。


================





以下內容為個人這段時間以來看過各方說法及資料匯集而成的,
若有錯誤或需要補充的地方還請告訴我。

本篇將以「勒索病毒」進行「簡易」的介紹。
==========
01.「勒索病毒」是什麼?
A1.勒索病毒不同於一般病毒,
  他是使用系統允許的方式進行檔案加密,
  讓使用者若沒有該密碼便無法開啟檔案,
  接著,在對想開卻無法開啟檔案的使用者進行勒索,
  目前的勒索多為以比特幣(bitcoin)來付贖金,
  接著,在受害者付完贖金之後給予「一次性」的解密程式,
  使受害者得以將檔案復原。
  但另一方面,也不是沒有被撕票的可能,
  因此,付完贖金之後只是「有機會」救回檔案資料。


Q2.防毒軟體可以擋下「勒索病毒」嗎?
A2.雖然有些防毒軟體有主打預防「勒索病毒」,
  但至今為止仍未有任何一家防毒軟體可以100%預防,
  頂多能降低風險。
  另、有些人會推薦同時使用兩款防毒軟體,
  但依據尤金卡巴斯基的說明,裝兩款防毒軟體技術上是不可行的,
  不過可安裝一個「防毒軟體(AntiVirus)」和一個「防惡意軟體(AntiMalware)」的程式。(5/10更新)
(megakotaro/mobile01補充及說明)<<部分未放上的內容可至連結內觀看



Q3.只要不去奇怪的網頁、不亂下載就不會有問題了嗎?
A3.非也,勒索病毒通常會透過flash的漏洞使使用者中毒,
  或是藉由冒充成常見軟體等方式來使使用者同意他們做亂。
  亦或是前陣子也有出現過「主動攻擊」win7系統的漏洞,
  使win7使用者中鏢,以上幾種除了自己同意病毒做亂以外,
  不管是透過flash使電腦中鏢,或是主動攻擊win7漏洞,
  都是在加密完成前很難以察覺的。
  之前在yahoo也有出現過廣告中被夾帶勒索病毒而使大量電腦中獎的例子。
  另、開啟遠端功能也有機會中鏢,如CRYSIS可暴力破解遠端連線的密碼。(5/10更新)

(megakotaro/mobile01補充及說明)<<部分未放上的內容可至連結內觀看



Q4.那要如何預防「勒索病毒」?
A4.先簡單列出幾個要特別留意的點,
  而詳細說明的部分,則會放到本項目的最後。
1.不要亂點連結、不要在官網以外的地方「更新」任何東西。
2.升至Win10,並將系統更新至最新。
3.移除flash,並將chrome升級為新版。
4.安裝Adblock等擋廣告的插件。
5.安裝具有防堵勒索病毒的防毒軟體。
6.雖然說不上預防,但可以使用他人所製作的腳本來減低中鏢時的損失。
 (詳情請參考:綁架病毒對策:簡易監控小腳本/PTT
 (另推薦Cybereason RansomFree,與上述的腳本類似,偵測到加密行為時會跳框並阻止)(5/10更新)(megakotaro/mobile01補充及說明-部分未放上的內容可至連結內觀看)

7.雖然不是預防勒索病毒本身,
 為維護資料安全,請至少以三種不同的形式進行備份,
 並且至少有一種方式要為異地備份(如雲端)。
8.另外,為確保加密早期(檔案還未加密完畢時)可及早發現,盡量避免長時間掛網。
9.進行「權限控管」,讓「一般使用者」的權限降低,防止勒索軟體寫入系統檔。(5/10更新)
(megakotaro/mobile01補充及說明)<<部分未放上的內容可至連結內觀看
10.關閉內建遠端。(5/12更新)
11.開啟防火牆,並關閉不必要的port(如12號那波「想哭2.0」攻擊就是透過port445)(5/15更新)

詳細說明:
關於第一點,基本上很多對電腦資安不熟的人很容易犯這種錯誤,
像是上次中毒者很多都是點選了在伊莉出現的假flash更新,
而該flash裡面除了真正的flash以外,
還夾帶了木馬程式,
接著,當勒索病毒藉由木馬程式進入受害者的電腦中之後,
便開始進行加密及勒索的動作,
但這部分因為是受害者自行放任病毒在自己的電腦裡做亂,
因此即便是win10也是會中鏢的。(目前win10中鏢案例皆為此種)
所以若需要對程式或系統進行升級,請至官網最為保險,
千萬不要因為他跳出來了,就點選下載或安裝。

第二點:
前陣子曾有一波專門「主動攻擊」win7系統的漏洞,
並使win7使用者中勒索病毒(這部分已在3/14有釋出系統更新檔),

(資料來源:Re: [心得] 兩天內家裡兩台電腦都被勒索/Joba07/PTT

(請參閱此連結更新五月份的安全更新:WIN7請點我WIN8.1請點我載點/

XP SP3官方載點vista官方載點win7官方載點
 /win8官方載點win8.1官方載點備用載點
(注意:但微軟一直有針對此部分進行安全性更新,可以的話還是開著自動更新吧!)


而win10相較於win8、win7,系統漏洞較少,
因此就目前為止,較能防範「主動攻擊型」的勒索病毒,
且自win8、win10的flash更新是與系統更新一同的,
所以只要自己跳出來說要更新的,
基本上應該都是病毒,較容易辨認。
但win10本身不防使用者自己讓病毒在電腦裡惡搞。
(因此除了系統防範以外,使用者習慣才是最重要的)
另外,微軟也多次針對防堵勒索病毒而提供更新檔,
因此建議使用者也要將電腦更新至最新版。

第三點:
建議移除flash,現在看youtube也已不是使用flash了,
而是html5,所以本來使用到flash的機會就少很多了,
再加上移除的話,可以避免因為flash漏洞而中鏢。
若不方便移除的話,請更新flash至最新,
且也請將chrome或火狐更新至新版,
新版chrome需經由使用者同意才得以在該網頁啟用flash,
以避免遇到夾帶病毒的flash檔。

第四點:
安裝擋廣告的插件在瀏覽器上可預防放在廣告中的病毒。
根據pcdvd「野口隆史」表示,「擋廣告套件原理只是把你不要的網頁元素隱藏,實際上都已經經過瀏覽器解析了」,所以效用不大,因此「建議用支援http scan的防毒軟體會比較適合(5/10更新)
(megakotaro/mobile01補充及說明)

第五點:
使用防毒軟雖無法達到完全防堵,但起碼多一個保障。
而有些人推薦同時使用兩種防毒軟體,但不建議且不可行。
可以安裝一款「防毒軟體(AntiVirus)」和一個「防惡意軟體(AntiMalware)」的程式。


第六點:
該腳本是為了萬一的時候,可以降低損失,
不過似乎已經有...
可以偵測出哪些是常用檔案而優先進行加密的勒索病毒了,
但基本上也算是做個保險,反正也不會太吃電腦資源。

第七點:
所謂的備份是不可以跟電腦檔案同步的,
且即便是透過外接式硬碟或隨身碟等進行備份,
也不可以長時間與電腦連接,
不然萬一勒索病毒開始加密了,
便會將那些所謂的「備份」給一起加密,
那備份就沒有意義了,因此除了傳輸檔案之外,
請注意權限以及不要將硬碟/隨身碟一直插在電腦上。

補充:若要使用與本機同步的網路硬碟的話,建議使用有版本還原功能的,
   像是一般人常用的dropbox及google雲端皆有網路還原功能,
   只是目前dropbox與google雲端若要還原檔案需一個個去點及還原,
   稍微有點麻煩,可考慮使用Crashplan等有還原至特定時間點功能的NAS。

(感謝阿儒/mobile01補充說明)



第八點:
若加密時人在電腦前面的話,較可以儘早發現異常,
例如說硬碟無緣無故地開始大量讀取、有些電腦檔案變得無法開啟等狀況,
此時可以立即進行斷網、強制關機、斷電等處理,以避免資料損失擴大。

但也請特別留意一下,
若防毒軟體已啟動反殺及回滾的程序的話,請待防毒軟體跑完,
有機會遏止加密狀況、刪除加密程序,並使檔案恢復原狀。(6/2更新)

(感謝ts00937488/巴哈補充說明)

第九點:(5/12更新)
對於硬碟內資料的存取及修改皆需要一定的權限,將權限降低可以防止勒索軟體寫入。
(megakotaro/mobile01補充及說明-部分未放上的內容可至連結內觀看)

第十點:(5/12更新)
我的電腦/本機>遠端設定>將「允許到這部電腦的遠端協助連線」的勾勾給取消。
鑒於最近很多人疑似因為遠端開起的關係而被植入會引來勒索病毒的東西,
因此建議把內建的遠端連線功能的勾選取消。

第十一點:(5/15更新)
危險的port並非僅有此次大家在說的445(SMB服務/網路芳鄰功能),
另外如....
135/TCP,UDP
137/TCP,UDP->NetBIOS
138/TCP,UDP->NetBIOS
139/TCP,UDP->NetBIOS
445/TCP,UDP->
其他像是593 1025 3389(遠端桌面協定) 這些用不到也可以一起關閉
(可封的port參考:Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統/qxxrbull (XPEC)/PTT

至於關閉方式的話有很多種,像是透過路由器、防毒軟體(附防火牆)、系統防火牆等,
也可透過僅開放白名單的方式來限制自己可以使用的範圍。
但.....
在關閉前請先確認此port是你沒有要用的才關閉,
以避免關閉該port才發現自己有在用的功能已無法使用!

(常見Port的用途請參考:[網路管理]常用 port 說明/大智(若愚)/點部落


Q5.我下載並安裝了了伊莉的Flash假檔了,該怎麼辦?
A5.請參考這兩篇文章:
有安裝依莉假FLASH的參考下/巴哈
Re:[請益] 最近少去伊莉/PTT


Q6.我中鏢了,而病毒已經開始加密了怎麼辦?
A6.立即切斷網路(*注1)並立即強制關機,以免災情擴大,
  並將電腦交由專業的人來處理,
  千萬不要啟動防毒軟體硬碰硬,
  以免原本能救回的檔案都無法救回來了。

*注1:「斷網」此一動作僅適用於早期剛開始加密,
    而與本機同步的其他主機或網路硬碟尚未將更新檔上傳完畢的時候,
    為保護其他相連電腦也一並遭受感染,
    以及放在網路硬碟上的檔案遭更新(變成已加密檔),
    因此需要立即斷網,
    亦可立即強制關機後立即將電腦電源拔除,使該電腦本身與網路隔絕。
    但若已加密完畢或已全數上傳、更新完畢的話,則不適用。

但也請特別留意一下,
若防毒軟體已啟動反殺及回滾的程序的話,請待防毒軟體跑完,
有機會遏止加密狀況、刪除加密程序,並使檔案恢復原狀。(6/2更新)


(感謝Chark.tw/mobile01補充說明)


(感謝ts00937488/巴哈補充說明)

Q7.我中鏢了,且檔案已全數被加密完成了。
A7.
1.不要以防毒硬碰硬,以免檔案即便解密也無法再開啟,
 且也有可能因此無法開啟付贖金的勒索視窗或下載解密程式。

2.嘗試目前部分防毒軟體公司所釋出的解密工具。
(趨勢等公司所釋出的解密程式已可解密部分類型)
(或是也有些外國人自己研究出來的解密方式也可以嘗試)

3.解密失敗的話,請將硬碟留下,可以的話直接拆下保存,
 不行的話,請找顆硬碟對拷。
 目前很多無論是破解得來或是付贖金得來的解密程式需檔案在原處才可復原,
 因此不建議搬移,故在這邊建議對拷或直接將該硬碟封存。

雖然有些人可能會付贖金讓檔案還原,
但為不助長此風,因此若自己已有備份的話,
請還是不要付贖金來了事,
除非檔案真的很重要且沒備份到再考慮,
畢竟也要把被撕票的可能性一起思考清楚。

4.若要自己重灌的話,請「完整格式化」硬碟之後再重灌。(5/15更新)
之前有看過重灌後仍復發的狀況,
因此經過完整格式化之後,再重灌,
另外,若只重灌系統槽(一般為C槽)的話是不夠的,
除非你能保證D槽已經沒有藏匿病毒或引起復發的任何條件。


Q8.中毒的話是否能請硬碟救援或防毒軟體等公司來救資料?
A8.基本上每一隻病毒對應每一台電腦時加密的密碼都不同,
  因此真正的密碼只有作者手上才會有,
  在此種狀況下,也只能用暴力解法,
  而在位數多的狀況下,使用暴力手法是非常沒有效率的,
  即便用國家級的超級電腦進行運算,也需要花上非常久的時間,
  因此沒辦法,除非是已有解法被釋出了。
==========
目前由防毒軟體公司公開的解密工具連結:
趨勢科技勒索病毒檔案解密工具
avast免費勒索軟體解密工具
ESET - 防毒軟體與間諜和程式保護(英文版)
卡巴斯基(Kaspersky)解密工具(英文) (感謝KevinYu0504/mobile01補充及說明)
Emsisoft解密工具(英文) (感謝KevinYu0504/mobile01補充及說明)
McAfee解密工具(英文) (感謝KevinYu0504/mobile01補充及說明)
Dr.Web (該軟體使用者可免費解密;否則須另支付一筆費用)(5/10更新)
(megakotaro/mobile01補充及說明)




用於辨識勒索病毒種類網站(感謝KevinYu0504/mobile01補充及說明)

https://id-ransomware.malwarehunterteam.com/

使用方式 -
進入網站後,
有三種測試方式,可以選擇其中一種即可。

(1).
左邊的【Ransom Note】意思就是勒索病毒提供的綁架說明檔案,
比較常見的都是 html(網頁檔)、txt(筆記本檔)、jpg(圖檔) 等等。
如果沒有提供任何綁架說明文件,可以跳過。

(2).
右上方的【Sample Encrypted File】意思是你被加密的檔案,
請直接用下方的 " 瀏覽 " 選項,上傳隨便一個你被加密的檔案上去。

(3).
右下方的【Addresses】意思是指地址,可以輸入綁架者提供的 電子信箱位置、
勒索說明檔案中提供的綁架網址。

找尋到勒索病毒的名字後,可去依關鍵字尋找解密工具,
若資料庫未有建檔或無法辨識的話,可能就是變種的病毒。

==========
推測win7 1月份的安全性漏洞補丁正是防堵此次假flash player案例中入侵的漏洞,
因此建議win7使用者須連同一月份的KB3216771也一起更新

(資料來源:[情報] Windows Update 2017年1月份更新/PTT

(感謝hn9480412/PTT補充)



==========
5/13 文章更新-
WIN7/WIN8.1使用者請參閱下列網址更新五月份的安全更新:
WIN7請點我WIN8.1請點我



Microsoft Update目錄-官方載點(似乎沒有中文版,確定有英文版和日文版):
XP SP3官方載點vista官方載點win7官方載點
 /win8官方載點win8.1官方載點備用載點

(要尋找該次更新版本的話)
(用搜尋或是直接把網址KB後面的數字改成該次版本的數字即可)

(部分進行安全性更新,可以的話還是開著自動更新吧!)

(資料來源:Re: [心得] 兩天內家裡兩台電腦都被勒索/Joba07/PTT
(資料來源:【情報】綁架病毒漏洞更新檔/巴哈

WIN7迷版使用者請參考此篇(6/2更新)
https://forum.gamer.com.tw/Co.php?bsn=60030&sn=2030735&subbsn=0
==========

同時發布在Mobile01:
https://www.mobile01.com/topicdetail.php?f=508&t=5142513&p=1#64269804
-
巴哈討論區
https://forum.gamer.com.tw/C.php?bsn=60030&snA=461275&tnum=71&subbsn=4

-
以及巴哈小屋
https://home.gamer.com.tw/creationDetail.php?sn=3568101
-
PTT
https://www.ptt.cc/bbs/AntiVirus/M.1494186550.A.56F.html

=====================
以上內容不針對特定勒索病毒(目前勒索病毒已有太多變種),
而本文是針對目前已知的所有類型進行介紹和補充,
不過由於不針對特定勒索病毒,因此無法詳細介紹各種類型的預防方式及解法。


至於部分報導中表示我(敏江)說.....
「「哭哭」病毒會透過flash的漏洞進行主動攻擊,常被侵入的系統包括 Windows XP/Vista/7/8/8.1等,較新的系統Windows 10 則不受影響。」


我可沒這樣說喔!!
像昨天(5/12)那波就是針對win7/win8/win8.1的漏洞進行「主動式攻擊」,
而非「透過flash漏洞」,因此為預防昨天那種攻擊,
除了防火牆等設置之外,還請「更新」系統。

=====================
因為很多人誤會且提問,所以我把這一段直接擺上來....
(感覺文章越來越長了....)


・5/12那波想哭攻擊與flash無關。

・先前伊莉被植入假的flash檔的部分已被移除。

・下載到假flash不安裝且刪檔的話,並不會中毒。

・安裝了假flash檔的話,並非直接中勒索病毒,而是被植入「木馬」,勒索病毒是藉由木馬進入電腦中的,因此才會產生有空窗期/潛伏期的錯覺。

・駭客也會flash本身的漏洞使電腦中毒,但flash本身並非病毒。


=====================
然後,雖然本身沒有要特定針對哪一款勒索病毒進行介紹,
不過還是轉貼一下5/12鬧得沸沸揚揚的「WannaCry」相關介紹文章....

Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統/paul40807/PTT(5/15增加)
新型勒索病毒WannaCry重創台灣!中毒了怎麼辦?如何預防?/蘋果仁
【轉載】WanaCrypt0r 2.0 預防&其他資訊+更新補丁/巴哈

=====================
更新項目:
5/10 - 不可同時安裝兩款(含以上)的防毒軟體。
5/10 - 須關閉遠端功能,另推薦Cybereason RansomFree。
5/10 - 進行「權限控管」,讓「一般使用者」的權限降低。
5/12 - 增加關閉內建遠端相關說明。
5/13 - 更新更新windows 更新檔連結,以下為有提供更新檔的版本:
xp sp3、vista、win8:KB4012598
win7:KB4019264
win8.1:KB4019215
5/15 - 關閉用不到的port。
5/15 - 重灌請「完整格式化」後再重灌。
6/02 - 新增「關機前應留意防毒是否有進行反殺及回滾。」
2017-05-06 23:38 #1
小敏江 wrote:
原本還想要加上目前已公開過的解密工具的整理,
但我好像不太清楚總共有哪些解密工具欸...,
(目前大概知道的就趨勢、Avast、ESET之類的幾個)
有人能提供目前已知的解密工具嗎?想一併整理起來....


寫得非常好 ~ 等等幫你加分
不過標題建議您可以改一下 ~

原本的 " 一些關於勒索病毒的常見問題.... " 看起來會像是有人在發問,
也許改成 " 關於勒索病毒的常見問題與說明(內詳) " 會讓更多人有興趣點閱 ~


至於有提供解密工具的除了你提到的這幾家,
還有

1. Kaspersky、卡巴斯基
https://noransom.kaspersky.com/

2. Emsisoft
https://decrypter.emsisoft.com/

3. McAfee、賣咖啡
https://www.mcafee.com/us/downloads/free-tools/shadedecrypt.aspx

這些比較知名的資安廠商都有提供解密工具。

=====================

這裡我提供一個網站,
是用來辨識你中的勒索病毒是哪一種

https://id-ransomware.malwarehunterteam.com/

使用方式 :

進入網站後,
有三種測試方式,可以選擇其中一種即可。

(1).
左邊的【Ransom Note】意思就是勒索病毒提供的綁架說明檔案,
比較常見的都是 html(網頁檔)、txt(筆記本檔)、jpg(圖檔) 等等。
如果沒有提供任何綁架說明文件,可以跳過。

(2).
右上方的【Sample Encrypted File】意思是你被加密的檔案,
請直接用下方的 " 瀏覽 " 選項,上傳隨便一個你被加密的檔案上去。

(3).
右下方的【Addresses】意思是指地址,可以輸入綁架者提供的 電子信箱位置、
勒索說明檔案中提供的綁架網址。


------------------

假設你中的勒索病毒在這網站的資料庫內有資料,
那就可以正確辨識出讓你中毒的這隻勒索病毒的名稱,
然後再按照這名稱去各大防毒廠商的官方網站尋找解密工具。


如果這網站顯示出 無法辨識,則是因為你中的勒索病毒是新的變種,
尚無更多資料,這就沒辦法了

如果網站顯示的英文看不懂,可以直接使用 Google 翻譯。
KevinYu0504 wrote:
寫得非常好 ~ 等...(恕刪)


請問一下,前幾天有看到你有推薦一套軟體Malwarebytes
可是我安裝完重開機後,電腦就會變很頓,開一個程式或視窗要等1分鐘以上
移除後電腦就正常了
是不是這套軟體跟卡巴相衝,我是安裝卡巴2016

還有想請問HitmanPro跟Malwarebytes哪套軟體比較好??
非常感謝您的建議>//<"
(請務必讓我收藏起來


KevinYu0504 wrote:
寫得非常好 ~ 等等幫你加分 讚
不過標題建議您可以改一下 ~

原本的 " 一些關於勒索病毒的常見問題.... " 看起來會像是有人在發問,
也許改成 " 關於勒索病毒的常見問題與說明(內詳) " 會讓更多人有興趣點閱 ~ 萌


至於有提供解密工具的除了你提到的這幾家,
還有

1. Kaspersky、卡巴斯基
https://noransom.kaspersky.com/

2. Emsisoft
https://decrypter.emsisoft.com/

3. McAfee、賣咖啡
https://www.mcafee.com/us/downloads/free-tools/shadedecrypt.aspx

這些比較知名的資安廠商都有提供解密工具。

=====================

這裡我提供一個網站,
是用來辨識你中的勒索病毒是哪一種

https://id-ransomware.malwarehunterteam.com/

使用方式 :

進入網站後,
有三種測試方式,可以選擇其中一種即可。

(1).
左邊的【Ransom Note】意思就是勒索病毒提供的綁架說明檔案,
比較常見的都是 html(網頁檔)、txt(筆記本檔)、jpg(圖檔) 等等。
如果沒有提供任何綁架說明文件,可以跳過。

(2).
右上方的【Sample Encrypted File】意思是你被加密的檔案,
請直接用下方的 " 瀏覽 " 選項,上傳隨便一個你被加密的檔案上去。

(3).
右下方的【Addresses】意思是指地址,可以輸入綁架者提供的 電子信箱位置、
勒索說明檔案中提供的綁架網址。


------------------

假設你中的勒索病毒在這網站的資料庫內有資料,
那就可以正確辨識出讓你中毒的這隻勒索病毒的名稱,
然後再按照這名稱去各大防毒廠商的官方網站尋找解密工具。

如果這網站顯示出 無法辨識,則是因為你中的勒索病毒是新的變種,
尚無更多資料,這就沒辦法了 汗

如果網站顯示的英文看不懂,可以直接使用 Google 翻譯。


Winghoping wrote:
請問一下,前幾天有看到你有推薦一套軟體Malwarebytes
可是我安裝完重開機後,電腦就會變很頓,開一個程式或視窗要等1分鐘以上
移除後電腦就正常了
是不是這套軟體跟卡巴相衝,我是安裝卡巴2016

還有想請問HitmanPro跟Malwarebytes哪套軟體比較好??


如果你是剛安裝好後第一次重開機,有可能是軟體正在掃瞄,
因此你會覺得電腦效能變慢,這是正常的。
看一下軟體是否有在掃瞄或者執行更新動作 ~

就我的了解非常多人使用 Kaspersky + Malwarebytes 的組合,
官方也有說明過相容性應該是沒有問題的。

不過如果你真的擔心發生衝突狀況,
你可以到卡巴的例外(排除)清單內,將 Malwarebytes 的執行程序加入清單內,
反之 Malwarebytes 也是,將卡巴的執行程序放入排除清單內。

Malwarebytes 的執行程序的位置通常是在 :
C:\Program Files\Malwarebytes\Anti-Malware\mbam.exe

------------------------

想先跟你確定一下,你是想問 HitmanPro.Alert 還是 HitmanPro 呢 ?
兩者是不同產品喔 ~
(以下我這裡簡稱 HMPA 跟 HMP)

HMPA 是擁有即時防護及其他許多防護的功能,而 HMP 則是單純的 雲端掃瞄器,
但購買 HMPA 的人可以同時使用 HMP 跟 HMPA,
反之購買 HMP 的人無法使用 HMPA 的功能。

HitmanPro 非常好用,但他只是個雲端掃瞄器,
沒有即時防禦,只有等到你手動掃瞄的時候才會出現結果,
也就是當你系統已經感染或者中毒,才靠這個掃瞄清除。

HMPA 則是擁有即時防護、鍵盤輸入加密、攝影機防護等等許多加值防護,
但本身沒有掃瞄功能,要掃瞄的時候他會自動下載 HMP 來使用。


Malwarebytes 則是有分付費版、免費版,
只有付費版才有即時防護、防勒索、惡意網站(IP)防護、零時漏洞防護 等等加值防護,
免費版只有掃瞄、清除而已。

所以總結來說,如果是免費版,

那使用 Malwarebytes 就好,因為他有免費的版本,
HitmanPro 全系列都是要付費的(頂多 30 天試用)。

但如果是付費,
Malwarebytes 在惡意網站、IP防護、零時漏洞防護部分是勝過 HitmanPro.Alert 的。

但在掃瞄的部分,HitmanPro 採用的是雲端多引擎的方式,
所以在偵測惡意軟體、病毒的部分(也就是所謂的偵測率),
通常會勝過 Malwarebytes。


如果說你的預算不是問題,兩套一起使用也是可以的 ~
如果說預算有限,就衡量一下哪套的功能較符合您需求囉 ~
這裡很多人的觀念還停留在不點擊或不下載就不會中標的時代,但其實世界早就不是他們想像的那樣了。


有興趣的人可以看看,記得點"點我看解答",這樣才會直接列出全部問答。
勒索病毒常見問題集
Q4的第七點做法不完美, 你會損失最後一次備份到現在的所有資料, 很容易忘記備份, 並且在備份途中中毒會全死.
最好的是使用有提供檔案歷程功能的雲端備份服務, 如crashplan.

Q6不對. 既然加密已經開始, 他已經拿到所有需要網路的資料, 斷網已沒有作用.
阿儒 wrote:
Q4的第七點做法不完美, 你會損失最後一次備份到現在的所有資料, 很容易忘記備份, 並且在備份途中中毒會全死.
最好的是使用有提供檔案歷程功能的雲端備份服務, 如crashplan.


關於Q4的部分我有想過,像是Dropbox和google雲端之類的也有提供版本紀錄及還原,
不過好像只能一一復原,算是挺麻煩的.....,
所以想請問若是crashplan的話,是可以直接還原到某個時間點嗎?




阿儒 wrote:
Q6不對. 既然加密已經開始, 他已經拿到所有需要網路的資料, 斷網已沒有作用.


關於Q6的部分,想請問一下那直接關機是否是較為正確的選擇呢?
斷網的部分是在許多相關文中都有出現的,
因此才加上的,不過當我看到的時候也是覺得有點奇怪....,
只是還不夠了解這個病毒的運作過程,非常感謝您的解答。



另外還有盡量避免電腦長時間掛網,
以及當硬碟大量讀取的時候要特別注意之類的,也在考慮是否要加進內文。
我就是死在沒有拔USB ...

小敏江 wrote:
以下內容為個人這段...(恕刪)
限制級
您即將進入之討論頁 需滿18歲 方可瀏覽。
提醒:內容可能因過於寫實、驚悚而令人感到不舒服,是否繼續觀看?

根據「電腦網路內容分級處理辦法」修正條文第六條第三款規定,已於該限制級網頁,依台灣網站分級推廣基金會規定作標示。
評分
複製連結
請輸入您要前往的頁數(1 ~ 14)