其实版主有接一些熟客的维修电脑,在不影响工作的前提之下(虽然现在也还没有工作就是了)。

日前朋友的ASUS笔记型电脑从床上滑落到床下,250G的硬碟就一睡不起(幸好朋友有备份的习惯),版主就帮忙装500G的硬碟(三年保固,第一年免费,第二、三年店家逐步增加手续费,我一毛未赚呀),帮忙装Win7,换言之,这是一个很干净的作业系统环境。

 

今天朋友的电脑出问题了,是勒索病毒。长相大概像这样:

 

病毒长相-1     

 

解决步骤:

1.开启隐藏档案与附档名

2.删除 !英文+数字.bmp

3.删除 !英文+数字.cfg

4.删除 !英文+数字.html

5.扫描解毒

6.停止服务

7.解密档案

 

1.先把隐藏的档案打开,方便后面步骤的进行,套用,确定。

打开隐藏档案-1.png 打开隐藏档案-2.png 打开隐藏档案-3.png  

 

2.3.4.在开始处、启动处看到的先手动删除掉

开始处显示-1.png 开始处显示-2CProgramData.png  

在搜寻处把档案名字EFF301E75B94(每个人的英文+数字组合都不一样,请自行调整) 

搜寻显示.png  病毒长相-2    

这些全部都可以删除了,如果遇到有权限的,就要手动单笔删除

 

5.用MALWAREBYTES ANTI-MALWARE软体[注1]扫描结果找到一个,删除

 软体扫描结果-1.png 软体扫描结果-2.png MALWAREBYTES ANTI-MALWARE软体扫描.png  

 

用HitmanPro软体[注2]找到83+10,删除

HitmanPro扫描到的-1.png HitmanPro扫描到的-2.png  

 

6.再来就是重头戏,独家,只有我个人认为要关掉这个Cryptographic Services 服务[注3],如有引用请告知,谢谢。

cry服务停止-1 cry服务停止-2 cry服务停止-3 cry服务停止永久-4

cry服务停止从这边侵入-5.pngcry服务停止改成这样-6 cry服务停止完成-7  

 

其中有一张图要拉出来解释,我个人认为这是病毒入侵的痕迹:

网路处显示.pngcry服务停止从这边侵入-5    

 

网路位置以及登入的这个帐户,我敢肯定我不会搞这样子登入,所以被我发现入侵点,这是外面都没有提到,我首发独家!!!

我用regedit找到疑似解码的答案[注4]

 regedit找到的疑似解码答案    

7.最后要怎么解开这些被加密的档案?我使用shadow软体[注5]可以一个一个档案的Export出来!!!

 shadow解决方案  

本文章所使用的软体(有分32位元与64位元,此篇文章以64位元为主)

不提供序号或是任何破解方法,请勿留言询问,谢谢。

 

 

[注1]MALWAREBYTES: https://www.malwarebytes.org/

[注2]HitmanPro:http://download.cnet.com/HitmanPro-3-64-bit/3000-2239_4-75110395.html

[注3]Cryptographic Services 服务:http://happy2000.idv.tw/new_page_20.htm

[注4]regedit找到疑似解码的答案:我有汇出存下来

[注5]ShadowExplorer软体: http://www.shadowexplorer.com/downloads.html


相关文章