第六點:改腳本是為了萬一的時候,可以降低損失,不過似乎已經有「可以偵測出哪些是常用檔案而優先進行加密」的勒索病毒了,但基本上也算是做個保險,反正不會太吃電腦資源。
第七點:所謂的備份是不可以跟電腦檔案同步的,且即便是透過外接硬碟或隨身碟等進行備份,也不可以長時間與電腦連接。不然萬一勒索病毒開始加密,便會將那些所謂的「備份」給一起加密,那備份就沒有意義了。因此除了傳輸檔案之外,請注意權限,以及不要將硬碟/隨身碟一直插在電腦上。
補充一下,若要使用與本機同步的網路硬碟的話,建議使用有版本還原功能的,像是一般人常用的dropbox及google雲端皆有網路還原功能,只是目前dropbox與google雲端若要還原檔案需一個個去點及還原,稍微有點麻煩,可考慮使用Crashplan等有「還原至特定時間點」功能的NAS。(註7)
第八點:若加密時人在電腦前面的話,較可以儘早發現異常,例如,硬碟無緣無故開始大量讀取、有些電腦檔案變得無法開啟等狀況,此時可以立即進行斷網、強制關機、斷電等處理,以避免資料損失擴大。
第九點:對於硬碟內資料的存取及修改皆需要一定的權限,將權限降低可以防止勒索軟體寫入。(註8)
第十點:我的電腦/本機>遠端設定>將「允許到這部電腦的遠端協助連線」的勾勾給取消。鑒於最近很多人疑似因為遠端開起的關係,被植入會引來勒索病毒的東西,因此建議把內建的遠端連線功能的勾選取消。
Q5.我下載並安裝了伊莉的Flash假檔,該怎麼辦?
A:請參考這兩篇文章:有安裝伊莉假FLASH的參考下吧、Re:[請益] 最近少去伊莉/PTT
Q6.我中鏢了,而病毒已經開始加密了怎麼辦?
A:立即切斷網路並立即強制關機,以免災情擴大,並將電腦交由專業的人來處理,千萬不要啟動防毒軟體硬碰硬,以免原本能救回的檔案都無法救回來了。
請注意,「斷網」此一動作僅適用於早期剛開始加密、而與本機同步的網路硬碟尚未將更新檔上傳完畢的時候,為保護放在網路硬碟上的檔案遭加密,因此需要立即斷網,亦可立即強制關機後立即將電腦電源拔除,使該電腦本身與網路隔絕。但若已加密完畢或已全數上傳、更新完畢的話,則不適用。(註9)
Q7.我中鏢了,且檔案已全數被加密完成了......
A:
1.不要以防毒軟體硬碰硬,以免檔案即便解密也無法再開啟,且也有可能因此無法開啟付贖金的勒索視窗或下載解密程式。
2.嘗試目前部分防毒軟體公司所釋出的解密工具。例如趨勢等公司所釋出的解密程式已可解密部分類型,或是也有些外國人自己研究出來的解密方式可以嘗試。