Sin Chew Daily - East Coast Edition
自行找回“想哭”綁架文件
(沙登13日訊)大馬 網絡安全機構為“想哭”勒索軟件的受害者提供找回“被綁架”資料的方法,他們可按照該機構所提供的方法,自行找回資料或向當局求助。
大馬網路安全機構首席執行員拿督阿米魯丁指出,“想哭”勒索軟件存有一個弱點,該軟件並非加密電腦中的文件,而是把文件匿 藏起來,展示“打不開的冒牌貨文件”,讓用戶以為文件被加密無法打開,繼而勒索贖金。
他在新聞發布會上說,該機構旗下的電腦危機應變小組(MyCert)檢驗國外的各種方法後,發現一個最適合找回文件的方式,不是為文件解密,而是找回被匿藏在電腦某處的原本文件。
他說,用戶可以通過以下網頁所提供(https://www.mycert.org.my/en/ services/advisories/mycert/2017/main/ detail/1265/index.html)的步驟,自行找回文件。
“用戶也可以聯絡我們,我們可以通過電話指示他們如何自行找回‘被綁架’的文件。” 求助MyCert小組須繳費
他指出,如果用戶把電腦帶來給MyCert小組處理,則須收費,費用介於400令吉至600令吉,胥視文件大小而定。
“有些個案可能需要長時間處理,我們收取的費用是人力和處理工具的費用。”
他說,只要不是被覆蓋(overwritten)的文件,可以通過下載Recuva和FreeUndelete這兩個軟件,掃描以下兩個文件夾,找回原本的文件。
這兩個軟件可以在以下網址下載:
1.Recuva(https:// www.piriform.com/ recuva)
2.FreeUndelete (http://www. officerecovery.com/ freeundelete/)
他指出,把兩個目錄C:\Windows\TEMP\ (在系統槽內)和 X:\$RECYCLE\(在非系統槽內)作為暫存式的文件夾,儘管“被綁架”的文件拓展名( file extension)還是.WNCRYPT,但是其實原本文件的內容完好無缺。 找回文件後須更改名稱
“不過找回文件後,文件名稱無法復原,需要更改文件名稱。”
阿米魯丁指出,繼我國於5月12日接獲首宗“想哭”勒索軟件的投報後,MyCert成員在一個月內參考外國專家的各種對付“想哭”勒索軟件方法,進行許多測試後得出這個方法,100%能夠找回文件。
他說,截至目前總共有3宗投報,都是來自私人界的公司,其中兩家公司是教育機構,由於這些公司只是投報,過後並沒有向當局求助,因此不清楚是否支付贖金。 受害者勿繳付贖金
他促請受害者不要繳付贖金,最好的方式就是預防,包括存取備份、安裝防毒軟件、進行修補程式(Patching)。
他指出,當局於2015年接獲92宗有關勒索軟件的投報、去年則是83宗,今年截至5月則是77宗(包括3宗為“想哭”勒索軟件)。
“上述方法是針對‘想哭’勒索軟件,並不能處理其他勒索軟件的問題。”
他說,當局將會與其他各國夥伴分享這個方法。