※本文已获原作者aria0520同意授权报导,各家媒体转录前须经过原作者同意。
勒索病毒层出不穷,在许多国家造成不小的伤害,尤其近日在日本、台湾地区也有不少灾情传出,现在就有PTT神人,依照勒索病毒的行为模式,制作了万用侦测脚本,希望大家能够在这波灾情中安全度过。
勒索病毒的的行为模式是将你电脑中的档案作加密,并且变更档案的副档名为"*.ccc"或"*.vvv"等数种格式,被加密的档案,除了支付赎金拿到解密金钥、使用卡巴斯基的解密金钥等两种方式外,目前尚无其他方式可以解决。PTT乡民aria0520就以勒索病毒会修改档案副档名的模式,置作了侦测用的脚本。
↑先到aria0520提供的连结下载压缩档。
↑解压缩后,会得到一个脚本与1.jpg的图档。
↑将这两个档案放在C槽底下,上网前点选一下。
侦测脚本的概念也很简单,aria0520要大家把他所置作的脚本与图档放置在C槽中,要上网之前先点选脚本一下,脚本会30秒就确认一下图档是否无改变,若有改变(比如遭到修改副档名),此时代表电脑可能被勒索病毒盯上,脚本将会在第一时间将整台电脑关机,降低受感染的档案数量、防止损害扩大。使用者也能透过"本机群组原则编辑器",将脚本设定为电脑开机就起动。作者aria0520也在文章中表示"这并不是解除病毒,主要目的只是设一个停损点。",另外绑架病毒的作用机制其实至今并不明朗,此方法只是以"病毒开始加密修改档名时立即中断电脑运作"为前提设计,并不能保证绝对可以完全防御,但却是现阶段比较可行的预防措施:
↑想要设定开机起动的话,在开始功能表的执行内,输入"gpedit.msc"。
↑接着找电脑设定=>Windows设定=>指令码(启动/关机),接着点选右边视窗"启动"的字样。
↑接着你会看到启动的内容视窗,点选画面右边的新增。
↑跳出新增指令码视窗后,按下右边的浏览按钮。
↑找到放在C槽的"vvvfku.vbs",点选加入他。
↑回到新增指令码视窗与启动内容视窗时,就按下确定即可。这样就完成开机启动的设定了。
重要提示,只要您使用了这个脚本来预防绑架病毒之后,请千万记得不可以搬动或砍掉根目录的1.jpg,如果怕自己脑残的话,建议改档名为"勿砍.jpg"并修改脚本内的档名喔。
相关连结
aria0520的侦测勒索病毒脚本载点(主网址)
aria0520的侦测勒索病毒脚本载点(分流)
