# 勒索病毒 ###### tags: 病毒 2021/12/16 遇到一個很 shock 的問題 伺服器被 勒索病毒 入侵 大部分 (不確定是否全部) root 擁有者的檔案，都被 加密鎖住 副檔名增加了 .locked  然後很貼心的附上的 README.html 告訴你，請把款項匯到指定地方 會再給你工具復原 依照勒索信箱找到這份 [2020年7月勒索病毒疫情分析](https://kknews.cc/zh-tw/tech/5jna8y3.html#:~:text=service%40goodluckday.xyz) 看起來，很像是 Hidden Tear 的變種 ## [Hidden Tear](https://ithelp.ithome.com.tw/articles/10278607) Hidden Tear 是一個開源的勒索軟體，2015 年後這個專案就沒更新了。它的變種也非常多，例如 MoWare。甚至有出現一些很鬧的變種，例如 CryptoSpider 只發送病毒通知和貓貓圖，卻沒有要贖金；還有變種 RensenWare 要求使用者要玩射擊遊戲才能解密。 功能 根據專案的介紹，除了解密工具外，它做了勒索軟體最基本的幾個功能。 用 AES 加密法加密檔案 把加密的 Key 送到攻擊者的機器 存放繳交贖金訊息的文字檔 實作方式 這個專案使用 C# 語言撰寫，以下實作方式就把上述三個功能的程式片段列出，並附上註解。 ## [Locky：迫使醫院緊急將所有電腦關機,改用紙本作業](https://blog.trendmicro.com.tw/?p=27012#:~:text=%E9%86%AB%E9%99%A2%20(Methodist%20Hospital)%E3%80%82-,RAA%E4%B8%8D%E5%83%85%E6%9C%83%E5%81%B7%E5%AF%86%E7%A2%BC%EF%BC%8C%E9%82%84%E6%9C%83%E5%81%B7%E6%AF%94%E7%89%B9%E5%B9%A3%E9%8C%A2%E5%8C%85,-%E7%95%B6%20RAA%20%E7%AC%AC%E4%B8%80%E6%AC%A1) 檔案被加密之後，檔名最後會加上「.locky 」副檔名。 ## RAA 一種變種，加密副檔名也類似，不過實際不同 當 RAA 第一次亮相時，最令人矚目的是它使用 JScript 來躲避偵測，並且讓自己更容易透過編碼來隱藏。 會搜尋下列副檔名的檔案：.doc、.xls、.rft、.pdf、.dbf、.jpg、.dwg、.cdr、.psd、.cd、.mdb、.png、.lcd、.zip、.rar、.csv 等等，接著將檔案加密，然後在檔名末端加上「.locked」副檔名。 --- ## 解決 透過還原點，還原到 7 月份的備份，再重新佈署，目前看起來已無問題