※本文已獲原作者aria0520同意授權報導,各家媒體轉錄前須經過原作者同意。

勒索病毒層出不窮,在許多國家造成不小的傷害,尤其近日在日本、台灣地區也有不少災情傳出,現在就有PTT神人,依照勒索病毒的行為模式,製作了萬用偵測腳本,希望大家能夠在這波災情中安全度過。

PTT神人輩出 鄉民撰寫萬用偵測勒索病毒腳本

勒索病毒的的行為模式是將你電腦中的檔案作加密,並且變更檔案的副檔名為「*.ccc」或「*.vvv」等數種格式,被加密的檔案,除了支付贖金拿到解密金鑰、使用卡巴斯基的解密金鑰等兩種方式外,目前尚無其他方式可以解決。PTT鄉民aria0520就以勒索病毒會修改檔案副檔名的模式,置作了偵測用的腳本。

PTT神人輩出 鄉民撰寫萬用偵測勒索病毒腳本
↑先到aria0520提供的連結下載壓縮檔。

 

PTT神人輩出 鄉民撰寫萬用偵測勒索病毒腳本
↑解壓縮後,會得到一個腳本與1.jpg的圖檔。

 

PTT神人輩出 鄉民撰寫萬用偵測勒索病毒腳本
↑將這兩個檔案放在C槽底下,上網前點選一下。

 

偵測腳本的概念也很簡單,aria0520要大家把他所置作的腳本與圖檔放置在C槽中,要上網之前先點選腳本一下,腳本會30秒就確認一下圖檔是否無改變,若有改變(比如遭到修改副檔名),此時代表電腦可能被勒索病毒盯上,腳本將會在第一時間將整台電腦關機,降低受感染的檔案數量、防止損害擴大。使用者也能透過「本機群組原則編輯器」,將腳本設定為電腦開機就起動。作者aria0520也在文章中表示「這並不是解除病毒,主要目的只是設一個停損點。」,另外綁架病毒的作用機制其實至今並不明朗,此方法只是以「病毒開始加密修改檔名時立即中斷電腦運作」為前提設計,並不能保證絕對可以完全防禦,但卻是現階段比較可行的預防措施:
PTT神人輩出 鄉民撰寫萬用偵測勒索病毒腳本
↑想要設定開機起動的話,在開始功能表的執行內,輸入「gpedit.msc」。

 

PTT神人輩出 鄉民撰寫萬用偵測勒索病毒腳本
↑接著找電腦設定=>Windows設定=>指令碼(啟動/關機),接著點選右邊視窗「啟動」的字樣。

 

PTT神人輩出 鄉民撰寫萬用偵測勒索病毒腳本
↑接著你會看到啟動的內容視窗,點選畫面右邊的新增。

 

PTT神人輩出 鄉民撰寫萬用偵測勒索病毒腳本
↑跳出新增指令碼視窗後,按下右邊的瀏覽按鈕。

 

PTT神人輩出 鄉民撰寫萬用偵測勒索病毒腳本
↑找到放在C槽的「vvvfku.vbs」,點選加入他。

 

PTT神人輩出 鄉民撰寫萬用偵測勒索病毒腳本
PTT神人輩出 鄉民撰寫萬用偵測勒索病毒腳本
↑回到新增指令碼視窗與啟動內容視窗時,就按下確定即可。這樣就完成開機啟動的設定了。

重要提示,只要您使用了這個腳本來預防綁架病毒之後,請千萬記得不可以搬動或砍掉根目錄的1.jpg,如果怕自己腦殘的話,建議改檔名為「勿砍.jpg」並修改腳本內的檔名喔。

相關連結

aria0520的偵測勒索病毒腳本載點(主網址)

aria0520的偵測勒索病毒腳本載點(分流)

閱讀全文