勒索病毒尝试解决办法
其实版主有接一些熟客的维修电脑,在不影响工作的前提之下(虽然现在也还没有工作就是了)。
日前朋友的ASUS笔记型电脑从床上滑落到床下,250G的硬碟就一睡不起(幸好朋友有备份的习惯),版主就帮忙装500G的硬碟(三年保固,第一年免费,第二、三年店家逐步增加手续费,我一毛未赚呀),帮忙装Win7,换言之,这是一个很干净的作业系统环境。
今天朋友的电脑出问题了,是勒索病毒。长相大概像这样:
解决步骤:
1.开启隐藏档案与附档名
2.删除 !英文+数字.bmp
3.删除 !英文+数字.cfg
4.删除 !英文+数字.html
5.扫描解毒
6.停止服务
7.解密档案
1.先把隐藏的档案打开,方便后面步骤的进行,套用,确定。
2.3.4.在开始处、启动处看到的先手动删除掉
在搜寻处把档案名字EFF301E75B94(每个人的英文+数字组合都不一样,请自行调整)
这些全部都可以删除了,如果遇到有权限的,就要手动单笔删除
5.用MALWAREBYTES ANTI-MALWARE软体[注1]扫描结果找到一个,删除
用HitmanPro软体[注2]找到83+10,删除
6.再来就是重头戏,独家,只有我个人认为要关掉这个Cryptographic Services 服务[注3],如有引用请告知,谢谢。
其中有一张图要拉出来解释,我个人认为这是病毒入侵的痕迹:
网路位置以及登入的这个帐户,我敢肯定我不会搞这样子登入,所以被我发现入侵点,这是外面都没有提到,我首发独家!!!
我用regedit找到疑似解码的答案[注4]
7.最后要怎么解开这些被加密的档案?我使用shadow软体[注5]可以一个一个档案的Export出来!!!
本文章所使用的软体(有分32位元与64位元,此篇文章以64位元为主)
不提供序号或是任何破解方法,请勿留言询问,谢谢。
[注1]MALWAREBYTES: https://www.malwarebytes.org/
[注2]HitmanPro:http://download.cnet.com/HitmanPro-3-64-bit/3000-2239_4-75110395.html
[注3]Cryptographic Services 服务:http://happy2000.idv.tw/new_page_20.htm
[注4]regedit找到疑似解码的答案:我有汇出存下来
[注5]ShadowExplorer软体: http://www.shadowexplorer.com/downloads.html