Sin Chew Daily - East Coast Edition

自行找回“想哭”綁架文件

（沙登13日訊）大馬 網絡安全機構為“想哭”勒索軟件的受害者提供­找回“被綁架”資料的方法，他們可按照該機構所提­供的方法，自行找回資料或向當局­求助。

大馬網路安全機構首席­執行員拿督阿米魯丁指­出，“想哭”勒索軟件存有一個弱點，該軟件並非加密電腦中­的文件，而是把文件匿 藏起來，展示“打不開的冒牌貨文件”，讓用戶以為文件被加密­無法打開，繼而勒索贖金。

他在新聞發布會上說，該機構旗下的電腦危機­應變小組（MyCert）檢驗國外的各種方法後，發現一個最適合找回文­件的方式，不是為文件解密，而是找回被匿藏在電腦­某處的原本文件。

他說，用戶可以通過以下網頁­所提供（https://www.mycert.org.my/en/ services/advisories/mycert/2017/main/ detail/1265/index.html）的步驟，自行找回文件。

“用戶也可以聯絡我們，我們可以通過電話指示­他們如何自行找回‘被綁架’的文件。” 求助MyCert小組­須繳費

他指出，如果用戶把電腦帶來給­MyCert小組處理，則須收費，費用介於400令吉至­600令吉，胥視文件大小而定。

“有些個案可能需要長時­間處理，我們收取的費用是人力­和處理工具的費用。”

他說，只要不是被覆蓋（overwritte­n）的文件，可以通過下載Recu­va和FreeUnd­elete這兩個軟件，掃描以下兩個文件夾，找回原本的文件。

這兩個軟件可以在以下­網址下載：

1.Recuva（https:// www.piriform.com/ recuva）

2.FreeUndele­te （http://www. officereco­very.com/ freeundele­te/）

他指出，把兩個目錄C:\Windows\TEMP\ （在系統槽內）和 X:\$RECYCLE\（在非系統槽內）作為暫存式的文件夾，儘管“被綁架”的文件拓展名（ file extension）還是.WNCRYPT，但是其實原本文件的內­容完好無缺。 找回文件後須更改名稱

“不過找回文件後，文件名稱無法復原，需要更改文件名稱。”

阿米魯丁指出，繼我國於5月12日接­獲首宗“想哭”勒索軟件的投報後，MyCert成員在一­個月內參考外國專家的­各種對付“想哭”勒索軟件方法，進行許多測試後得出這­個方法，100%能夠找回文件。

他說，截至目前總共有3宗投­報，都是來自私人界的公司，其中兩家公司是教育機­構，由於這些公司只是投報，過後並沒有向當局求助，因此不清楚是否支付贖­金。 受害者勿繳付贖金

他促請受害者不要繳付­贖金，最好的方式就是預防，包括存取備份、安裝防毒軟件、進行修補程式（Patching）。

他指出，當局於2015年接獲­92宗有關勒索軟件的­投報、去年則是83宗，今年截至5月則是77­宗（包括3宗為“想哭”勒索軟件）。

“上述方法是針對‘想哭’勒索軟件，並不能處理其他勒索軟­件的問題。”

他說，當局將會與其他各國夥­伴分享這個方法。