WannaCry爆發(fā)以后,安全專家正應(yīng)付得焦頭爛額,一波未平、一波又起,國外某些用戶的電腦又遭到了第二波攻擊,他們的電腦屏幕上跳出了以下信息:
>>> ALL YOUR PERSONAL FILES ARE DECODED
Your personal code: XXX
To decrypt your files, you need to buy special software.
Do not attempt to decode or modify files, it may be broken.
To restore data, follow the instructions!
You can learn more at this site:
hxxps://4ujngbdqqm6t2c53[.]onion.to
hxxps://4ujngbdqqm6t2c53[.]onion.cab
hxxps://4ujngbdqqm6t2c53[.]onion.nu
If a resource is unavailable for a long time to install and use the tor browser.
After you start the Tor browser you need to open this link hxxp://4ujngbdqqm6t2c53[.]onion
(你的個人文件已被加密;個人識別碼:{唯一的ID號}要想解密文件必須購買專用軟件。千萬不要嘗試解碼或修改文件,否則一切后果自負(fù)。想要恢復(fù)文件,務(wù)必遵循以下步驟!
更多信息請?jiān)L問以下鏈接:{基于洋蔥網(wǎng)絡(luò)的網(wǎng)頁}。若該資源長時(shí)間無法正常安裝,可使用洋蔥瀏覽器。打開洋蔥瀏覽器后訪問以下鏈接{TOR URL})
一、基本介紹
這種病毒被稱為UIWIX——勒索軟件最新的家族成員,利用的是與WannaCry相同的漏洞。但UIWIX不像WannaCry那樣具備kill switch,其作用是阻止病毒的傳播,也就是說UIWIX只會不斷進(jìn)行自我復(fù)制,這種破壞連病毒的開發(fā)者也無法阻止。當(dāng)然也有專家提出反對觀點(diǎn),認(rèn)為UIWIX并不是一種SMB蠕蟲,其背后黑客只是手動利用漏洞并展開感染,不具有像蠕蟲那樣極強(qiáng)的傳播能力。
UIWIX首先會掃描硬盤并檢測所有目標(biāo)文件。它能夠加密九十多種類型的文件,包括文檔、圖片、檔案。加密文件名稱中會出現(xiàn)“.UIWIX”的后綴。也就是說假如您有一個名為example.exe的文件,病毒會將其重命名為example.exe.UIWIX。我們還是能夠能看到文件圖標(biāo),但無法打開。好消息是,該病毒不會加密和操作系統(tǒng)相關(guān)的關(guān)鍵文件。因此至少我們還是可以通過電腦尋找解決方案。但壞消息是目前還沒有免費(fèi)的解密工具公開。
不過作為受害群眾也不需要太過擔(dān)心,全球成千上萬的安全研究人員都在努力開發(fā)工具。在這里需要著重提醒讀者的一點(diǎn)是:千萬不要支付贖金!UIWIX背后的黑客要求受害者支付0.12比特幣(約220USD)來購買所謂的解密工具。之所以選擇比特幣正是因?yàn)樗牟豢勺粉櫺浴H绻愀读隋X也沒有收到解密程序,那么神仙也幫不了你了。所以,千萬千萬不要付贖金!你面對的是破壞社會規(guī)則的犯罪分子,指望他們會公平交易,你也太天真了。
二、感染方式
UIWIX的開發(fā)者利用的也是Windows系統(tǒng)中的SMBv1和SMBv2漏洞,也就是被稱為“Shadow Brokers”的黑客組織所泄露的“永恒之藍(lán)”漏洞。Windows用戶都要為操作系統(tǒng)和軟件打好補(bǔ)丁,以免感染。微軟甚至還為WindowsXP、Win8、Windows Server 2003這些不再提供更新服務(wù)的用戶推出了修復(fù)補(bǔ)丁。另外,UIWIX可能也會通過被入侵的遠(yuǎn)程桌面連接進(jìn)行攻擊。一些專家認(rèn)為該惡意軟件也可能會采用郵件附件的方式進(jìn)行傳播感染。因此建議大家都要保持百分之百的警惕來預(yù)防UIWIX這些勒索軟件。
如果被感染了怎么辦?天無絕人之路。你是否有在其它設(shè)備上備份系統(tǒng)?如果有,那么我們就可以輕松地恢復(fù)文件。但是在恢復(fù)之前的首要任務(wù)還是要把UIWIX先刪除,否則它還是會把你剛剛恢復(fù)的文件進(jìn)行加密,甚至損壞你的備份設(shè)備。因此我們需要使用一個可信的反病毒軟件來刪除UIWIX。或者你也可以按照我們的步驟進(jìn)行手動刪除,清理設(shè)備并開始定期備份系統(tǒng)。只有這樣,才能預(yù)防勒索軟件的卷土重來。
三、UIWIX刪除向?qū)?/span>
第一步:通過帶網(wǎng)絡(luò)連接的安全模式刪除UIWIX
請按照以下說明操作。切記在安全模式下完成反病毒軟件的運(yùn)行后,恢復(fù)正常模式進(jìn)行重復(fù)掃描。
重啟電腦,開啟“帶網(wǎng)絡(luò)連接的安全模式”(Safe Mode with Networking)。
Windows 7 / Vista / XP
1. 單擊開始→關(guān)機(jī)→重啟→OK
2. 當(dāng)電腦處于活動狀態(tài)時(shí),多次按住鍵盤上的F8按鈕,直到跳出“Advanced Boot Options”(高級啟動選項(xiàng))
3. 選擇列表中的“Safe Mode with Networking”
Windows 10 / Windows 8
1. 在Windows登錄界面上按電源按鈕
2. 按住Shift鍵,然后單擊重啟
3. 選擇疑難解答→高級選項(xiàng)→啟動設(shè)置→重啟
4. 一旦計(jì)算機(jī)進(jìn)入活動狀態(tài),在啟動設(shè)置窗口中選擇“Enable Safe Mode with Networking”
第二步:刪除UIWIX
登錄至受感染帳戶并啟動瀏覽器。下載反間諜程序。確保在最新狀態(tài)下對系統(tǒng)進(jìn)行全面掃描,同時(shí)刪除惡意文件,最終完成UIWIX的清理工作。
如果勒索軟件阻止Safe Mode with Networking。那么我們可以通過以下方法作進(jìn)一步嘗試。
利用System Restore(系統(tǒng)還原)完成惡意軟件的清理,請遵循以下步驟。
第一步:重啟電腦,開啟Safe Mode with Command Prompt(帶命令提示符的安全模式)
Windows 7 / Vista / XP
1. 點(diǎn)擊開始→關(guān)機(jī)→重啟→OK
2. 當(dāng)你的電腦進(jìn)入活動狀態(tài)后,多次按住F8,直到跳出Advanced Boot Option界面(高級啟動選項(xiàng))
3. 在列表中選擇Command Prompt
Windows 10 / Windows 8
1. 在Windows登錄界面上按電源按鈕
2. 選擇疑難解答→高級選項(xiàng)→啟動設(shè)置→重啟
3. 一旦計(jì)算機(jī)進(jìn)入活動狀態(tài),在啟動設(shè)置窗口中選擇“Enable Safe Mode with Command Prompt
第二步:恢復(fù)系統(tǒng)文件與設(shè)置
Command Prompt頁面跳出后,輸入cd restore再按Enter鍵
再輸入rstrui.exe,按Enter鍵
跳出一個新的窗口,點(diǎn)擊“Next(下一步)”,選擇UIWIX入侵之前的還原點(diǎn),再點(diǎn)擊“下一步”。
點(diǎn)擊“Yes”開始進(jìn)行系統(tǒng)還原。
如果系統(tǒng)還原到被攻擊之前的狀態(tài)后,請使用反病毒軟件對計(jì)算機(jī)進(jìn)行掃描,確保UIWIX已被成功刪除。
四、Bonus:數(shù)據(jù)恢復(fù)
上面的步驟主要是刪除UIWIX。下面我們將介紹如何恢復(fù)加密文件的方法,方法提出者是2-spyware.com的安全專家。
到目前為止,UIWIX的解密方法尚未被研究出來,因此我們采用其它方式來恢復(fù)你的數(shù)據(jù)。
1. 使用Data Recovery Pro來拯救被UIWIX加密的文件
下載Data Recovery Pro(http://www.2-spyware.com/download/data-recovery-pro-setup.exe)
根據(jù)安裝指南完成安裝
啟動并掃描計(jì)算機(jī)上被UIWIX加密的文件
恢復(fù)文件
2. Windows的歷史版本功能能夠幫助恢復(fù)舊的文件版本
找到需要恢復(fù)的加密文件
右擊,選擇“屬性”并轉(zhuǎn)到“以前的版本”選項(xiàng)卡
檢查“文件夾版本”中文件的每個可用副本
選擇要恢復(fù)的版本,單擊“恢復(fù)”
3. 合法的UIWIX解密器尚未正式發(fā)布
千萬不要購買某些黑客販賣的非法UIWIX解密器,因?yàn)檫@有可能是另一種惡意軟件,反而會更大程度地破壞你的計(jì)算機(jī)。我們應(yīng)時(shí)刻警惕勒索軟件,同時(shí)也建議使用知名的反間諜軟件,如:Reimage、Plumbytes Anti-Malware或Malwarebytes Anti Malware。
| 
