艾瑞克的 Hexo 空間

[筆記]面對 Cryptolock / Cryptowall 勒索病毒的檔案備份應對辦法

本文發表於723天之前,文章內容可能已經過時,如有疑問,請聯繫作者。

最近Cryptolocker/Cryptowall 這類的勒索病毒越來越猖獗

也由於一直無法確定病毒的實際來源,所以很難做到在GATEWAY端阻止

於是換個角度來想,既然這類勒索病毒的加密目標是我們硬碟裡的「文件」,那只要避免這些「文件」被病毒直接感染到就好了

上網查了一下,因為變種很多,原本的cryptolocker不會加密 zip檔,後面的變種好像會,於是備份時要避免用 .zip / .rar 的格式

也就是說,要不就把硬碟內容以「映象檔」的方式備份,要不就是存成病毒不會去加密的類型

以映象檔方式備份的作法,因為很花時間又很佔容量,所以先不考慮(其實我比較推薦這種方法)

存成病毒不會加密的類型又有幾種作法

一種是利用autover 之類的小工具,在檔案/目錄有異動時,進行備份,然後將備份後的檔案重新命名

例如c:\123\123.txt 有異動的時候,自動備份到 d:\123\123.txt

然後把 d:\123\123.txt 給重新命名成 d:\123\123.txt.timestamp 這樣

不過呢,雖然這種real time backup 的軟體很多

但是要能做到 rename after backup 的,沒有….

跟幾位軟體的作者聯絡過,要不就是沒回我,不然就是說你付錢,我來改


 

在不想花錢的前提下,只好想其他辦法

這些軟體大部分都會內建壓縮的的功能,雖然 zip/rar 好像也會被加密,那如果有zip/rar 以外的壓縮方式呢?

照這個思維想下去,第一個想到 .tgz XD

然後還真的找到了一個免費、免安裝的軟體叫 toucan ,可以用GZIP去壓縮 ,而且支援命令列模式啟動,

也就是說雖然他沒有內建排程,但是可以透過windows的排程定時去執行

簡單用底下一張圖來說明

 

2015-12-21_14-41-40

1.執行程式後,選擇備份活頁

2.在工作名稱輸入一個好記的名稱,這個名稱等一下會用到

3.選擇要備份的路徑

4.類型看你需要,看是完整或者更新都OK

5.格式,這個是重點記得選 gzip

6.要把檔案複製到哪裡? 這邊可以選本機、甚至可以選雲端硬碟的目錄,讓備份的檔案可以自動同步到雲端

都設定完之後,在 2的地方,選那個磁片的圖示存檔,然後就可以關閉這個程式

接下來改用命令列模式來進行備份

切換到 toucan 的目錄後,輸入 toucan.exe -j JOB_NAME(就是剛剛輸入的工作名稱,在這邊就是 DD_ENCRYPT)

2015-12-21_14-45-30

然後就會看到程式開始執行(底下圖片的左邊就是程式執行的情況)

2015-12-21_14-46-09

 

備份的檔案就是一個 .gz 的檔案

2015-12-21_14-48-18

這種檔案「理論上」就不會被勒索軟體給加密了!

 


如果不想用toucan ,那還有另一種作法是利用 winrar 的自解壓縮檔功能

指令也很簡單

winrar a -sfx BACKUP_DEST.exe BACKUP_SOURCE

2015-12-21_14-51-33

 

備份後會產生一個 .exe 的自解壓縮檔,目前也不會被勒索軟體給感染!

2015-12-21_14-52-52

 

 

 

 

avatar
[筆記] shadowcopy 語法

  1. 1. 也就是說,要不就把硬碟內容以「映象檔」的方式備份,要不就是存成病毒不會去加密的類型