免费勒索软件解密工具企业版
mountainbikers

常见问答

那么,就算用的是iPhone也有危险?

到目前为止,还没有发现专门针对iPhone和iPad的勒索程序。当然,这是指未越狱的iPhone。恶意软件可能会渗透,不受iOS和苹果锁定应用商店安全限制约束的设备,很可能会被恶意软件感染。

然而,iPhone勒索软件很可能就在眼前,不需要越狱系统就能被感染。我们还可能会看到物联网勒索软件的出现。网络犯罪分子在接管智能电视或冰箱后,很可能会要求支付高额赎金。

我能不支付赎金就解密被加密文件吗?

有时候可以。绝大多数勒索程序借用的弹性加密算法,这意味着若不使用加密密钥,可能需要好几年时间才能解密。

勒索软件攻击的幕后黑手有时候也会犯错误,被执法机构搜到包含加密密钥的攻击服务器。对于这种情况,是能够开发出解密器的。

如何支付赎金?

通常情况下,赎金要求以 cryptocurrency(即比特币)支付。这种电子货币无法伪造。任何人都可以获得交易历史记录,但很难追踪到钱包的主人。这就是为什么网络犯罪分子更偏爱比特币的原因: 用比特币更不容易被抓到。

有些类型的勒索软件使用匿名在线钱包,或者甚至使用移动支付。我们至今为止见过的最让人惊讶的支付方法是 50 美元的 iTunes 礼品卡。

勒索软件是怎样感染电脑的?

最常见的载体是电子邮件。勒索软件可能会以一个很有用或十分重要的附件 (一张紧急发票、一篇有趣的文章,一个免费应用程序)形式出现。一旦打开附件,就会感染电脑。

但是,勒索软件还可在您浏览互联网期间,秘密潜入您的系统。勒索者会利用操作系统、 浏览器或应用程序的漏洞来获取对系统的控制权。这就是为什么软件和操作系统保持最新十分重要的原因 (顺便说一句,您可以将这项任务托付给“卡巴斯基安全软件”或“卡巴斯基全方位安全软件”,它们的最新版本会自动执行更新过程)。

有些勒索程序可以通过本地网络自我传播。如果这类木马感染了家庭或企业网络中的一台机器或设备,则其他端点最终也会被感染。但这种情况十分罕见。

当然,还有一些可预测性更强的感染情况:下载种子、安装了插件……别再这样做了。

哪类文件最危险?

最可疑的文件是可执行文件(如EXE或SCR),其次是Visual Basic脚本或JavaScript(.VBS和.JS扩展名)。这些文件通常被打包成ZIP或RAR存档文件,以掩盖其恶意性质。

另一类危险的文件是MS Office文件(DOC、DOCX、XLS、XLSX、PPT等)。这些文件可能含有易受攻击的宏;如果系统提示您启用Word文档中的宏,请三思而后行。

另外还要小心快捷方式文件(.LNK扩展名)。 Windows可以用任何图标来绘制这类文件,然后配以表面看没什么问题的文件名,引诱你打开。

重要说明:Windows会在不提示用户的情况下打开扩展名已知的文件,而且默认情况下,会在Windows资源管理器中隐藏这些文件的扩展名。因此,如果看到名称类似Important_info.txt这样的文件,很可能实际上是Important_info.txt.exe,即恶意软件安装程序。请将Windows设置为显示扩展名以提高安全性。

远离流氓网站或可疑附件就能避免感染吗?

很遗憾,就算是再谨慎的用户也有可能被勒索软件感染。例如,在一家著名的大型新闻网站上阅读新闻的时候,电脑就有可能被勒索软件感染。

当然,网站本身是不会向访问者分发恶意软件的 – 除非网站被黑客入侵,这又是另一回事了。相反,网络犯罪分子入侵的广告网络会作为分发者,只有有未修复的漏洞,就会使得恶意软件被加载进来。在此重申,使软件保持最新,并为操作系统安装全部补丁非常关键。

我用得是Mac电脑,所以不必担心被勒索软件感染,对吧?

Mac也会感染勒索软件,并且已经有相关案例报告。例如,KeRanger勒索软件利用流行的传输种子客户端感染了Mac用户。

我们的专家认为,针对苹果系统的勒索程序数量将逐渐增加,而且苹果设备相对昂贵,勒索者很可能会把Mac用户当成更重要的目标,要求其支付更高赎金。

一些类型的勒索软件甚至专门针对Linux系统。没有任何系统能够幸免。

我是用手机上网。我有必要担心Android上的勒索软件吗?

有必要。例如,已经有专门针对Android设备的cryptor和blocker,其中后者更为普遍。因此,在智能手机上安装反毒软件绝不是疑心病太重。
small-fusob-screen

通常赎金是多少?

实际上没有“标准额度”。但是,勒索者要求受害者支付的赎金平均为300美元,用以恢复对加密文件或被锁定计算的访问权。但有些勒索程序只要求支持30美元,有些则要求支持数万美元。企业和其他大型组织,通常会通过鱼叉式网络钓鱼被感染,更可能被要求支付更高的赎金。

然而,应牢记的一点是,支付赎金并不能保证安全和可靠地拿回文件。

我怎么知道电脑是否被勒索软件感染了?

勒索软件不是暗中为害。它会明晃晃地向你宣告自己的存在,比如:
rfaq-teslacrypt-screen-1
或者像这样:
rfaq-dedcryptor-screen

或者像这样:
rfaq-eda2-screen
Blocker则更类似于这样:
rfaq-locker-screen

哪些勒索软件类型最为普遍?

新的勒索软件层出不穷,所以很难说哪种最为普遍。我们可以列举几个突出的例子,比如Petya,用于加密整个硬盘。另外还有СryptXXX,这款软件目前仍然很嚣张,但我们已经成功解密了两次。当然,TeslaCrypt是2016年前四个月感染面最大的勒索软件样本;出乎意料的是它的作者也是发布主密钥的人。

什么是勒索软件?

勒索软件是一种恶意类型的程序,它能锁定您的计算机、平板电脑或智能手机 — 或者加密您的文件,然后要求您支付赎金才能安全拿回这些数据。基本上勒索软件分为两种类型。

第一种类型是cryptor,用于加密文件使其无法被访问。解密文件需要对其进行加密的密钥 — 这支付赎金就是为了获得这个密钥。

另一种类型是blocker,只是用于阻止被感染计算机或其他设备的访问权。blocker实际上要比cryptor的情况稍好一些;因为受害者恢复被阻止访问权的机会要大于解密文件。

如果感染了勒索软件,该如何清除?

如果您发现电脑被锁 – 无法加载操作系统 – 请使用卡巴斯基WindowsUnlocker,这是一款免费实用工具,可以删除blocker,让Windows恢复启动。

Cryptor是更难啃的一块硬骨头。首先,您需要运行反病毒扫描来除去恶意软件。如果电脑上没有安装适当的反病毒软件,请在这里下载免费试用版。

下一步是恢复文件。

如果有文件的备份副本,则可以从备份中轻松还原文件。这是目前最好的办法。

如果没有进行过备份,那么可以尝试使用称为“解密器”的特殊实用工具来对文件解密。卡巴斯基实验室创建的所有免费解密器都可以在Noransom.kaspersky.com上找到。

其他反病毒软件公司也会开发解密器。但请记住一件事:务必确保是从一个有信誉的网站下载解密器;否则被其他恶意软件感染的风险非常高。

如果找不到正确的解密器,您要么支付赎金,要么跟您的文件永远说再见。也就是说,我们并不建议您支付赎金。

为什么不直接支付赎金?

首先,支付赎金不一定能保证恢复文件。勒索者是没有信誉的。比如,Ranscam的作者就完全没有信誉,他甚至懒得去加密,只是简单粗暴地删除文件(但在勒索赎金时当然是承诺解密的)。

根据我们的研究,支付了赎金的受害者中,有20%没能拿回文件。
no-no-ransom-ig-en
其次,支付赎金等同于助长这种网络犯罪业务模式,会促使它蓬勃发展。

我找到了需要的勒索软件解密器;但为什么不起作用?

一旦有新的解密器出来,勒索软件开发人员会迅速做出反应,他们会通过修改恶意软件,使其灵活应对可用的解密器。这就像是一场打仓鼠游戏。非常遗憾,解密器不能保证一定有效。

如果发现了恶意进程,我能做些什么来阻止勒索软件感染吗?

理论上,如果您能及时关闭电脑,取出硬盘,将硬盘插入另一台电脑,并使用该电脑的反病毒软件杀毒是可以避免感染的。然而,在现实生活中,用户很难甚至根本不可能检测到感染; 勒索软件默默运行,直到最后大揭秘:赎金信。

反病毒软件是否足以避免感染?

是的,绝大多数情况下能。但和您使用的反病毒解决方案有关系。根据知名实验室的独立基准评测(实际上是唯一的可信基准),卡巴斯基实验室的产品相比竞争对手,能提供更好的防御。但没有反病毒软件能100%有效。

在许多情况下,自动检测取决于恶意软件有多新。如果恶意软件的签名尚未添加到反病毒数据库中,则可以通过行为分析检测到木马。如果该软件企图进行破坏,则会立即被阻止。

我们的产品中包括“系统监控”模块;一旦它检测到有恶意进程企图对大量文件加密,就会阻止该进程并回滚所有更改。所以切勿禁用此模块。
rfaq-system-watcher-screen
此外,“卡巴斯基全方位安全软件”可自动执行备份过程。这样,即便情况变得糟透了,您也可以通过备份副本还原所有关键事件。

如果定期备份文件,是否就安全了?

备份文件非常有用,这点无可置疑,但并不是100%的保证。下面就是不能保证的一种情况:您在配偶的计算机上设置了自动备份,每三天运行一次。cryptor悄悄感染系统后,加密了所有文件、照片等等,但它并没有立即通知您交付赎金。所以你在一星期后检查时发现,备份也全部被加密了。备份确实至关重要,但您的防御需要更进一步。

可以调整任何设置来加强防御吗?

a. 首先,确保安装反病毒软件,该怎样做我们前面已经说过,对吧?

b. 可以禁用浏览器中的脚本执行,它们可是网络犯罪分子最喜欢利用的工具。请查看我们的博客,了解如何在Chrome和Firefox中禁用脚本执行。

c. 在Windows资源管理器中显示文件扩展名。

d. 使记事本作为VBS和JS文件的默认应用程序。Windows通常会将危险的VBS和JS脚本标记为文本文件,这可能会误导不熟练用户打开它们。

e. 考虑启用“卡巴斯基安全软件”的“信任应用程序模式”,从而限制安装未列在白名单上的所有程序。默认情况下此模式并未启用,需要进行一些调整和设置才可启用,但这是非常有用的一个工具,尤其适合非PC专业用户,他们可能会无意中让一些恶意软件进入系统。

勒索信息图表 勒索信息图表