電腦中毒自救手冊：由釣魚電郵到勒索軟件嘅完整處理流程

電腦中毒自救手冊：由釣魚電郵到勒索軟件嘅完整處理流程

上個月半夜，我收到一個熟客嘅緊急來電。佢話：「師傅，我間公司成個 server 俾人 lock 咗，所有檔案名變成 .encrypt，彈出嚟話要俾 3 個 Bitcoin 先解鎖。」我一聽就知係勒索軟件（Ransomware）。我叫佢第一時間熄 server、熄 router、熄所有連住嘅電腦。第二日我上到去，發現係有個員工開咗個釣魚 email 附件。成個 case 搞咗三日先 recover 到 90% 嘅 data。

電腦中毒呢樣嘢，好多人都覺得離自己好遠。但其實我哋每個月至少接到 10-15 單中毒求助，有啲係個人客，有啲係公司客。今日就同你講下，發現中毒之後應該點做，同一開始點樣避免中招。

第一步：你點知自己中毒咗？

好多病毒係偷偷做嘢，唔會彈個窗話你知。留意以下徵兆：

• 電腦明顯慢咗——尤其係開機之後冇開任何嘢，但 CPU 使用率長期 90% 以上。可能係 virus 喺 background 做 mining 或者 send spam。
• 成日彈廣告——明明冇開 browser，都係咁彈 pop-up 廣告。呢啲通常係 adware，黐咗喺你係統入面。
• 瀏覽器首頁被改——你 set 咗 Google 做首頁，但每次開 browser 都去咗個唔知咩搜尋引擎。呢啲叫 browser hijacker。
• 檔案開唔到或者改名——全部 .docx、.jpg 變成 .encrypt 或 .locked。呢個係勒索軟件嘅典型徵狀。
• 朋友話收到你嘅奇怪 email——你可能中毒咗而唔知，virus 用你嘅 email 四圍 send 毒。

第二步：發現中毒之後即刻做嘅事

第一時間： 拔網絡線或者熄 Wi-Fi。切斷上網連線可以防止 virus 繼續同 C&C server 溝通、防止佢 encrypt 更多檔案、防止佢感染 network 入面其他電腦。你唔熄網絡，做咩都冇用。

第二： 熄機。如果係勒索軟件，你愈 run 得耐，佢 encrypt 得愈多檔案。熄機可以停止 encrypt 過程。

第三： 用另一部電腦（肯定冇中毒嗰部）改曬所有重要密碼——email、banking、social media。因為有 d virus 會 steal 你 browser 儲存嘅 password。

第四： 唔好俾贖金。如果你俾咗錢，有兩個結果：一係佢唔解鎖（約 30% 嘅 case），二係佢解鎖咗但留低後門，幾個月後再嚟一次。你俾錢只會助長呢個 industry。

第三步：清除病毒嘅方法

方法一：Windows Defender 離線掃描（免費、推薦先試）

Windows 10 同 11 內置嘅 Defender 其實好勁。佢有個「離線掃描」模式，喺 Windows 未開機之前 scan 成個系統，可以 detect 到好多正常 mode 下 detect 唔到嘅 virus。

點做： 開始 > 設定 > 更新與安全性 > Windows 安全性 > 病毒與威脅防護 > 掃描選項 > Microsoft Defender 離線掃描 > 立即掃描。部機會重啟，然後喺 Windows 未 load 之前進行全面掃描。過程大約 15-30 分鐘。

方法二：用第二部電腦做 rescue disk

如果 Windows 已經開唔到、或者 Defender scan 完都仲有毒，可以揾第二部電腦製作一個 rescue USB。

推薦工具：

• Kaspersky Rescue Disk——免費，用 Linux 核心 boot 機，然後掃 Windows 嘅硬碟。
• Sophos Virus Removal Tool——免安裝，可以直接行。
• Malwarebytes——免費版可以手動 scan 同清除。呢個係我個人覺得最 reliable 嘅免費掃毒工具。

方法三：人手清除（進階用家）

如果你識得用工作管理員同 registry，可以試：

• 開工作管理員，睇下有冇可疑程式名（怪獸名、亂碼名、或者明顯唔係正常 program）。right click > 開啟檔案位置，delete 咗個 exe。
• 開 msconfig，去「啟動」分頁停用所有可疑項目。
• 開 regedit，搜尋 virus 名或者相關嘅 registry key。呢步要好小心，delete 錯 registry 會令 Windows boot 唔起。

強烈建議： 如果你唔係好熟 registry，唔好亂鬱。delete 錯一條 key 可以令你連 Windows 都開唔到。

第四步：救檔案——勒索軟件 encrypt 咗點算

呢個係最難搞嘅部分。勒索軟件用嘅 encrypt 方法通常係 AES 或者 RSA，冇 key 基本上解唔到。以下係你可以試嘅：

• 上 No More Ransom 網站（nomoreransom.org）：呢個係 Europol 同各大保安公司合作嘅平台。入面有免費 decryptor，如果你中嘅係已知變種，有機會救得返。
• Check shadow copy： 如果你仲有 Windows 嘅 shadow copy（Volume Shadow Copy），可以右 click 檔案 > 內容 > 以前的版本。試下還原。但係好多勒索軟件 encrypt 完會 delete 埋 shadow copy，呢個方法成功率唔高。
• 俾我哋睇： 你 WhatsApp 個 encrypt 咗嘅 file 名同副檔名俾我哋。我哋 database 有記錄超過 500 種 ransomware 嘅特徵，可以話你知有冇得救、邊個 decryptor 用得。

真實個案：士多老闆七日嘅惡夢

今年三月，深水埗一間辦館士多嘅老闆中咗勒索軟件。佢用部電腦做入貨記錄同會計，入面有過去五年嘅單據同供應商資料。佢平日冇 backup，因為「覺得麻煩」。

一日佢開機見到所有 .xlsx 同 .pdf 變成 .encrypted。彈出嚟嘅信息係用英文寫，要 0.5 Bitcoin（當時約 $25,000）先解鎖。

佢 WhatsApp 我哋。我上到去，發現係 STOP/Djvu 勒索軟件——呢個變種嘅 decryptor 其實已經有人整咗。我去 No More Ransom 下載咗對應嘅 decryptor，成功解鎖咗 80% 嘅檔案（有啲檔 encrypt 得太耐，救唔返）。

結果： 佢一蚊贖金都冇俾，data 救返八成。之後我幫佢 set 咗個自動備份方案——每日 backup 去外置 HDD，每星期 sync 去 Google Drive。收費 $600。佢話：「呢 $600 係我今年用得最值嘅錢。」

事前預防：唔想中毒就要做嘅三件事

1. 唔好開陌生 email 附件：尤其係 .zip、.docm（有 macro 嘅 word 檔）、.exe。如果你收到「順豐速遞通知」或者「税局退税通知」叫你 download 附件，九成九係釣魚。
2. 保持 Windows Update 同軟件更新：好多 virus 係透過已知漏洞入嚟嘅。你唔 update，等於打開門俾人入。
3. 做好 off-line backup：呢個係你最後嘅防線。如果中毒，你仲有 backup data。記住：backup 硬碟用完要拔走，唔好長期插住，否則 ransomware 會 encrypt 埋佢。

FAQ

問：俾咗贖金係咪一定救得返啲檔案？
答：唔一定。根據統計，俾咗贖金之後約有 30% 嘅受害者無法完全 recover。有啲黑客收咗錢之後會消失，有啲俾嘅 decryptor 有 bug 解唔到全部檔案。FBI 同 Europol 都強烈建議唔好俾錢。

問：免費防毒夠唔夠用？
答：Windows Defender 對一般用家嚟講已經好夠。但如果你係公司客、或者成日 download 檔案，建議加 Malwarebytes 做 secondary scanner。

問：中毒之後上門維修點收費？
答：病毒清除 $380 起（上門 $580 起）。如果係勒索軟件要 recovery，會按 data 量同損壞程度報價，$1,200-$4,000 不等。不成功不收費。

總結

中毒唔可怕，可怕係你唔知點應對。拔線、熄機、唔俾錢、call 師傅——呢四個步驟記住就得。如果你懷疑自己部機中毒，可以 WhatsApp 我哋 CentralComputer，我哋可以遙距幫你睇下有冇可疑程式。

相關：電腦維修 | 數據恢復 | 博客主頁