WannaCry爆發以后,安全專家正應付得焦頭爛額,一波未平、一波又起,國外某些用戶的電腦又遭到了第二波攻擊,他們的電腦屏幕上跳出了以下信息:
>>> ALL YOUR PERSONAL FILES ARE DECODED
Your personal code: XXX
To decrypt your files, you need to buy special software.
Do not attempt to decode or modify files, it may be broken.
To restore data, follow the instructions!
You can learn more at this site:
hxxps://4ujngbdqqm6t2c53[.]onion.to
hxxps://4ujngbdqqm6t2c53[.]onion.cab
hxxps://4ujngbdqqm6t2c53[.]onion.nu
If a resource is unavailable for a long time to install and use the tor browser.
After you start the Tor browser you need to open this link hxxp://4ujngbdqqm6t2c53[.]onion
(你的個人文件已被加密;個人識別碼:{唯一的ID號}要想解密文件必須購買專用軟件。千萬不要嘗試解碼或修改文件,否則一切后果自負。想要恢復文件,務必遵循以下步驟!
更多信息請訪問以下鏈接:{基于洋蔥網絡的網頁}。若該資源長時間無法正常安裝,可使用洋蔥瀏覽器。打開洋蔥瀏覽器后訪問以下鏈接{TOR URL})
一、基本介紹
這種病毒被稱為UIWIX——勒索軟件最新的家族成員,利用的是與WannaCry相同的漏洞。但UIWIX不像WannaCry那樣具備kill switch,其作用是阻止病毒的傳播,也就是說UIWIX只會不斷進行自我復制,這種破壞連病毒的開發者也無法阻止。當然也有專家提出反對觀點,認為UIWIX并不是一種SMB蠕蟲,其背后黑客只是手動利用漏洞并展開感染,不具有像蠕蟲那樣極強的傳播能力。
UIWIX首先會掃描硬盤并檢測所有目標文件。它能夠加密九十多種類型的文件,包括文檔、圖片、檔案。加密文件名稱中會出現“.UIWIX”的后綴。也就是說假如您有一個名為example.exe的文件,病毒會將其重命名為example.exe.UIWIX。我們還是能夠能看到文件圖標,但無法打開。好消息是,該病毒不會加密和操作系統相關的關鍵文件。因此至少我們還是可以通過電腦尋找解決方案。但壞消息是目前還沒有免費的解密工具公開。
不過作為受害群眾也不需要太過擔心,全球成千上萬的安全研究人員都在努力開發工具。在這里需要著重提醒讀者的一點是:千萬不要支付贖金!UIWIX背后的黑客要求受害者支付0.12比特幣(約220USD)來購買所謂的解密工具。之所以選擇比特幣正是因為它的不可追蹤性。如果你付了錢也沒有收到解密程序,那么神仙也幫不了你了。所以,千萬千萬不要付贖金!你面對的是破壞社會規則的犯罪分子,指望他們會公平交易,你也太天真了。
二、感染方式
UIWIX的開發者利用的也是Windows系統中的SMBv1和SMBv2漏洞,也就是被稱為“Shadow Brokers”的黑客組織所泄露的“永恒之藍”漏洞。Windows用戶都要為操作系統和軟件打好補丁,以免感染。微軟甚至還為WindowsXP、Win8、Windows Server 2003這些不再提供更新服務的用戶推出了修復補丁。另外,UIWIX可能也會通過被入侵的遠程桌面連接進行攻擊。一些專家認為該惡意軟件也可能會采用郵件附件的方式進行傳播感染。因此建議大家都要保持百分之百的警惕來預防UIWIX這些勒索軟件。
如果被感染了怎么辦?天無絕人之路。你是否有在其它設備上備份系統?如果有,那么我們就可以輕松地恢復文件。但是在恢復之前的首要任務還是要把UIWIX先刪除,否則它還是會把你剛剛恢復的文件進行加密,甚至損壞你的備份設備。因此我們需要使用一個可信的反病毒軟件來刪除UIWIX。或者你也可以按照我們的步驟進行手動刪除,清理設備并開始定期備份系統。只有這樣,才能預防勒索軟件的卷土重來。
三、UIWIX刪除向導
第一步:通過帶網絡連接的安全模式刪除UIWIX
請按照以下說明操作。切記在安全模式下完成反病毒軟件的運行后,恢復正常模式進行重復掃描。
重啟電腦,開啟“帶網絡連接的安全模式”(Safe Mode with Networking)。
Windows 7 / Vista / XP
1. 單擊開始→關機→重啟→OK
2. 當電腦處于活動狀態時,多次按住鍵盤上的F8按鈕,直到跳出“Advanced Boot Options”(高級啟動選項)
3. 選擇列表中的“Safe Mode with Networking”
Windows 10 / Windows 8
1. 在Windows登錄界面上按電源按鈕
2. 按住Shift鍵,然后單擊重啟
3. 選擇疑難解答→高級選項→啟動設置→重啟
4. 一旦計算機進入活動狀態,在啟動設置窗口中選擇“Enable Safe Mode with Networking”
第二步:刪除UIWIX
登錄至受感染帳戶并啟動瀏覽器。下載反間諜程序。確保在最新狀態下對系統進行全面掃描,同時刪除惡意文件,最終完成UIWIX的清理工作。
如果勒索軟件阻止Safe Mode with Networking。那么我們可以通過以下方法作進一步嘗試。
利用System Restore(系統還原)完成惡意軟件的清理,請遵循以下步驟。
第一步:重啟電腦,開啟Safe Mode with Command Prompt(帶命令提示符的安全模式)
Windows 7 / Vista / XP
1. 點擊開始→關機→重啟→OK
2. 當你的電腦進入活動狀態后,多次按住F8,直到跳出Advanced Boot Option界面(高級啟動選項)
3. 在列表中選擇Command Prompt
Windows 10 / Windows 8
1. 在Windows登錄界面上按電源按鈕
2. 選擇疑難解答→高級選項→啟動設置→重啟
3. 一旦計算機進入活動狀態,在啟動設置窗口中選擇“Enable Safe Mode with Command Prompt
第二步:恢復系統文件與設置
Command Prompt頁面跳出后,輸入cd restore再按Enter鍵
再輸入rstrui.exe,按Enter鍵
跳出一個新的窗口,點擊“Next(下一步)”,選擇UIWIX入侵之前的還原點,再點擊“下一步”。
點擊“Yes”開始進行系統還原。
如果系統還原到被攻擊之前的狀態后,請使用反病毒軟件對計算機進行掃描,確保UIWIX已被成功刪除。
四、Bonus:數據恢復
上面的步驟主要是刪除UIWIX。下面我們將介紹如何恢復加密文件的方法,方法提出者是2-spyware.com的安全專家。
到目前為止,UIWIX的解密方法尚未被研究出來,因此我們采用其它方式來恢復你的數據。
1. 使用Data Recovery Pro來拯救被UIWIX加密的文件
下載Data Recovery Pro(http://www.2-spyware.com/download/data-recovery-pro-setup.exe)
根據安裝指南完成安裝
啟動并掃描計算機上被UIWIX加密的文件
恢復文件
2. Windows的歷史版本功能能夠幫助恢復舊的文件版本
找到需要恢復的加密文件
右擊,選擇“屬性”并轉到“以前的版本”選項卡
檢查“文件夾版本”中文件的每個可用副本
選擇要恢復的版本,單擊“恢復”
3. 合法的UIWIX解密器尚未正式發布
千萬不要購買某些黑客販賣的非法UIWIX解密器,因為這有可能是另一種惡意軟件,反而會更大程度地破壞你的計算機。我們應時刻警惕勒索軟件,同時也建議使用知名的反間諜軟件,如:Reimage、Plumbytes Anti-Malware或Malwarebytes Anti Malware。
| 
