電腦勒索病毒校園處置流程SOP

近日校內有電腦感染勒索病毒，出現的症狀包括了，EXCEL、WORD、PDF、TXT 、JPG、MP3、ZIP、MP4等檔案，都被綴加副檔名，不是打開變亂碼，就是無法開啟，而電腦的目錄資料夾，也多出了類似以下這三個檔案：
ReCoVeRy_xxxxxx.HTML
ReCoVeRy_xxxxxx.png
ReCoVeRy_xxxxxx.txt（ps.其實檔案名稱不固定，有很多不同的命名，但就是多出三個同名檔案）

要請老師提高警戒的是，這就是勒所病毒，而且它非常難清除，因為他變種繁多，甚至許多的防毒軟體無法偵測到。
這類的勒所病毒非常討厭，他會逐一的把你的常用的檔案加密上鎖，讓你無法開啟，除非你繳付贖金500美金等值比特幣，他才給你解鎖密碼及方法（至於是否真的有解，不一定）。

校園處置流程SOP

假如你感覺到你的電腦跑的非常非常慢，而且也發現了部份檔案無法開啟或是資料夾下多了上述類似的三個同檔名檔案，請馬上依下面的SOP流程處置：

1.馬上關閉你的電腦，並拔除網路線：關閉電腦的目的是設立停損點，避免你的電腦有更多的檔案被加密，拔除網路線是避免透過網路傳染給別人。

2.馬上通報資訊組：資訊組的處置為

(1)防火牆封鎖該電腦的網路連線

(2)收回中毒者的隨身碟、外接硬碟做檢查

(3)指導中毒者使用正確的方法備份檔案

3.此時，方請老師正確備份未中毒、倖存的重要資料

4.伺備份完畢後，電腦會交由電腦公司重灌或還原

5.重灌或還原後的電腦，仍會先列入觀察名單1星期，1星期後方開放NAS及CSS的連線，在此期間中毒者請謹記不要拿隨身碟插其他老師的電腦。(該期間的檔案傳送暫時改用信箱寄送)

6.中毒者家中的電腦，則請老師務必自行請電腦公司詳細檢測及掃毒

ps.中毒之後的確會造成非常多的不方便，所以更要老師提高警覺！！

其他的處置或預防方法

1.電腦要記得修補系統漏洞做更新。WinXP已不提供更新，未來將視為汰換的首選。

2.更新下列程式至最新版本：Java、Adobe Reader、Adobe Flash Player，或甚至都不要安裝。

3.定期備份重要資料，以降低傷害程度；備份資料宜以光碟、隨身硬碟方式備份，備份完畢後務必將儲存媒體另外收納，勿與電腦連接。

4.請勿開啟不明電子郵件，尤其非公務相關之信件，更勿使用公務電腦瀏覽不明網站，特別是大陸網站，更不應安裝大陸開發的軟體。

勒索病毒其他相關資訊連結

病毒 CRYpt0L0cker 交付贖款血淚史

綁架勒索電腦檔案的惡意程式事件分析報告

下列方法你可以試試 (但成功救回的機率很低很低)

解決之道

解決之道2