中勒索病毒后如何清除-电脑中勒索病毒后加密文件恢复方法

Posted 2023-05-15

参考技术A

中勒索病毒后如何清除-电脑中勒索病毒后加密文件恢复方法

　　电脑中了比特币勒索病毒文件怎么恢复?比特币勒索病毒文件怎么恢复?比特币勒索病毒正在传播中，不少小伙伴的电脑都受到了勒索病毒的侵袭，那么被侵袭之后，要如何恢复我们的文件呢? 比特币勒索病毒文件怎么恢复?下面是为你整理的关于中了比特币勒索病毒文件怎么恢复方法教程，希望对你有帮助!

　　比特币勒索病毒文件怎么恢复?比特币勒索病毒正在传播中，不少小伙伴都受到了勒索病毒的侵袭，那么被侵袭之后，要如何恢复我们的文件呢?

　　比特币勒索病毒文件怎么恢复

　　一般来说，比特币勒索病毒由于加密非常复杂，使用超级电脑破解比特币勒索病毒的话也需要十几年，总之目前来看破解比特币勒索病毒难度很大。

　　但是比特币勒索病毒主要是给网友的文件加密，网友自己无法解卡，需要给勒索者支付比特币才能解锁。

　　部分病毒变种，在加密用户文档后会彻底删除原文件。

　　注意，这种情况下原文件并没有被加密，只是被删除。

　　存在一定机会恢复部分被删除的原文件。

　　所以电脑中毒后，千万不要再向电脑里拷贝文件，应该马上使用数据恢复软件，尝试扫描电脑硬盘。如果找到了被删除的文件，马上恢复，这样就可以最大限度降低损失。

　　对于电脑内保存重要文件的网友来说，比特币勒索病毒怎么才能恢复文件呢?

　　比特币勒索病毒文件怎么恢复 勒索病毒文件恢复方法

　　3款文件恢复软件：

　　1、老牌数据恢复软件 finaldata

　　2、强力恢复软件 Recuva

　　使用方法大同小异，都是用软件打开电脑里的 C盘或D盘E盘，然后开始扫描。速度通常不太快，硬盘大的话，可能要扫几十分钟。

　　扫完后，会看到大量被彻底删除的文件，如果显示状态“非常好”，那么就可以右键点击文件恢复到其他硬盘里去。

　　这些恢复软件，一定要装在 U盘里，放到硬盘的话，有可能挤占源文件的位置。

　　这个办法并没有解密被绑架的文件，而是去恢复被删除的文件。

　　3、360勒索蠕虫病毒文件恢复工具

　　近期360发布了一款360勒索蠕虫病毒文件，声称可以恢复部分被勒索软件加密的文件。

　　并不能百分之百恢复文件，但是有可能恢复一定比例文件，成功概率会受到文件数量等多重因素影响。文件恢复成功率会受到文件数量、时间、磁盘操作情况等因素影响。一般来说，中毒后越早恢复，成功的几率越高。此次发布的工具是只针对 Wannacrypt 勒索软件的，对于其他勒索病毒可能没有用，同时也无法保证100%恢复所有文件。

　　反病毒专家：比特币病毒造成的破坏不可逆，即使交了赎金也未必能解除

　　电脑文件被加密 交钱未必清除勒索病毒文件恢复方法

　　成都市的李先生最近遇到一件奇怪的事，自家的电脑仿佛被黑客控制了一般，所有文件都打不开，电脑屏幕上还出现一段像对话一样的神秘英文。原来，李先生的电脑被一种比特币病毒绑架了，“绑匪”提出，用3个比特币作为“赎金”购买解密的软件。反病毒专家提醒，这种勒索病毒造成的损害不可逆，需小心防范。

　　一段英文朗诵后电脑文件全都被加了密

　　“10月4日下午，我家孩子用电脑做英语作业，做完后电脑没关，过了差不多一个小时，电脑突然发出一段声音，是英文的，就像朗诵一样。”李先生回忆说，“因为孩子做的是英语作业，当时自己也没想太多，结果之后就看到电脑桌面被修改了。”

　　时间已经过去了6天，李先生的电脑桌面仍然保持当天下午的样子，桌面背景变成了白色，屏幕中间有几行绿色英文。而桌面上包括Word文档、JPG图片和视频在内的每个文件，都被更改了格式。“这些文件都打不开了，点击打开后就会出现没有相应软件的提示。”

　　李先生这才意识到，电脑可能中病毒了，他赶紧试着翻译了桌面上的英文。“英文大意是，文件和数据已经被加密了，安全解密文件的唯一方式就是支付3个比特币，购买一种解密文件。如果用第三方软件解密文件，那样将遭受不可挽回的损失。”李先生说。

　　文字后面，还附带了几个网址，只要点击这些网址，就可以购买英文所说的解密的软件。“我没有点这些链接，担心点了过后会有更大的麻烦。”李先生告诉记者，第一次遇到这种奇怪的事，自己也想不出到底是怎么回事。

　　一个比特币4100元破解不可能支付又心疼

　　带着疑问，李先生向电子科技大学相关专家进行请教。专家看了李先生的电脑后断定，植入李先生电脑的，极有可能是比特币病毒。“这种病毒也叫比特币木马，会加密受感染电脑中114种格式的文件，使其无法正常打开，还会弹窗‘敲诈’机主。”

　　据了解，比特币病毒早在2014年就在国外出现，2015年初开始在国内出现。而之所以被称作比特币病毒，是因为该病毒会要求受害者支付3比特币作为赎金，用于购买解密的软件。而比特币这种虚拟货币只能在数字世界使用，因此使得交易难以追踪。

　　不仅如此，这种病毒的加密方式相当复杂，“暴力破解需要数十万年，超级计算机破解也需要十几年甚至几十年”。“我也咨询过几个IT高手，他们都说这种病毒很难解密，还建议我跟黑客谈判，用合适的价钱买解密的软件。”李先生有些无奈地说。

　　记者查询发现，目前每个比特币价格在4100元左右，也就是说，李先生需要花1.2万元才能购买解密的软件。“我存放在电脑里10多年的文件，以及近几年的生活工作照片，全部都被非法破坏了。”李先生想到这里，就觉得心疼。

　　目前，李先生已经向所在地的派出所报案，并等待警方的侦查处理。

　　勒索病毒善伪装造成的破坏不可逆

　　金山公司反病毒专家李铁军告诉记者，诸如比特币木马等勒索类病毒近来比较常见。“这种病毒利用系统内部的加密处理，而且是一种不可逆的加密，必须拿到解密的`秘钥才有可能破解。也就是说，除了病毒开发者本人，其他人是不可能解密的。”

　　据介绍，勒索类病毒通常通过电子邮件传播，伪装成电脑系统内部的工作文档，诱导电脑用户打开文档。“如果用户没有注意到安全警告的话，病毒程序就可能运行。”李铁军说，

　　“早期的勒索病毒版本，解密秘钥可能存在于系统的注册表中，但现在流行的病毒版本，我们分析过，是无法解除的。”李铁军说，更为严重的是，比特币病毒的原理和方法早已经公开在互联网上，“很多黑客进行改造，开发出更多病毒变种”。

　　至于李先生所说的花钱购买解密的软件，李铁军表示，病毒开发者的说法不可信。“病毒加密是一种不可逆的加密，造成的损害也是不可逆的。”李铁军说，“而且根本不知道对方是什么人，即使交了赎金，也未必能解除。”

　　因此，李铁军提醒，重要文件应及时备份，另外，处理电子邮件时需要特别小心，“对于可疑的程序，不要在自己的电脑上打开。”“还有就是在本地电脑上安装安全软件，现在一些安全软件可以拦截新出现的勒索病毒，即便没有查到病毒特征，但病毒在加密文件过程中，可以对加密的动作进行拦截。”

　　反勒索服务，360安全卫士负责到底

　　敲诈者病毒这么猖狂，难道没有办法对付了吗?当然不!360安全卫士11.0版本推出了“反勒索服务”，在开通该服务的情况下如果仍然感染敲诈者病毒，360将替用户缴纳最高3个比特币的赎金(约人民币13000元)并协助还原被加密文件，保障用户财产和数据的双重安全。

　　据了解，360安全卫士基于云安全主动防御技术，能够通过行为判断第一时间感知病毒，全面拦截各类敲诈者病毒及其变种。所以说，360“敲诈先赔”的举措并不是有钱任性，而是对自身防护技术有充分的信心。

　　如果中毒造成了损失，360负责赔，这样的服务是不是觉得很熟悉?没错，这与360此前推出的“网购先赔”如出一辙。“网购先赔”为遭遇网购欺诈和木马盗取资金的用户提供安全保障。即使出现赔付情况，360花一笔钱就能发现最新的病毒变异趋势，也是非常值得的，这相当于花钱提升了产品竞争力，也是非常划算的。

;

浅析勒索病毒 WannaCry 永恒之蓝

现在是2017年5月14号晚上9点

对于勒索病毒WannaCry病毒刚刚结束了他的工作

···

　　2017 年 5 月 12 日晚间起，我国各大高校的师生陆续发现自己电脑中的文件 和程序

被加密而无法打开，弹出对话框要求支付比特币赎金后才能恢复，如若不 在规定时间内

供赎金，被加密的文件将被彻底删除。

5月13日，英国16家医院遭到网络攻击。医院内网被攻陷，电脑被锁、电话不通。

黑客索要每家医院300比特币(接近400万人民币)的赎金，否则将删除所有资料。

现在这16家机构对外联系基本中断，内部恢复使用纸笔进行紧急预案。

英国国家网络安全部门介入调查，但病毒攻击仍在进行中。意大利、俄罗斯、西班牙、越南、土耳其、日本等

近 100 个国家遭受 了攻击。加油站、火车站、ATM 机、

政府办事终端等设备以及邮政、医院、电信 运营商，部分工业设施等行业都被“中招”，

部分设备已完全罢工，无法使用。 目前，该事件的影响已逐步扩展到国内各类规模的企

业内网、教育网、政府机构 等多类单位。

 

在国内，由于以前国内多次爆发利用445端口传播的蠕虫，部分运营商在主干网络上封禁了该端口。

但教育网及大量企业内网并没有此限制而且并未及时安装补丁，仍然存在大量暴露445端口且存在漏洞的电脑。

目前，多处高校网络出现ONION/Wannacry勒索软件感染情况，磁盘文件会被病毒加密为.onion后缀，

很多学生资料被锁，毕业设计等资料和个人数据造成严重损失。受影响的有贺州学院、桂林电子科技大学、

桂林航天工业学院以及广西等地区的大学。另外有网友反映，大连海事大学、山东大学等也受到了病毒攻击。

全国多地中石油加油站出现断网，加油卡无法使用，疑似遭遇敲诈病毒攻击。

 

根据网络安全机构通报，这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的病毒攻击事件。

恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，

不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

　　与以往病毒攻击不同的是，此次大规模的恶意攻击是以勒索为目的的，并且其攻击的对象以及由计算机系统、

设备，转向了数据!这有可能成为恶意攻击由以破坏为目的转向勒索、牟利的一个标志性事件。

此次攻击已经不再是单纯的炫技，而是直接危险到了每个人的数据数字财产、数据权利，

乃至威胁到了社会经济、国家安全。这给我们敲响了大数据时代网络安全的警钟，网络空间安全建设亟待加强。

大数据时代数据源更加多样化，数据对象范围分布更为广泛，对数据的安全保护提出了新的要求，

大数据应用内在安全机制和外部的网络安全都亟待完善。

因此在推动大数据技术应用的同时也面临着很多安全风险和挑战，对数据的安全保护成为大数据应用安全的重中之重。

数据保护的边界需要重新确定，数据应用、接口技术等安全风险的防范需要重新设立标准与规范。

 

那么问题来了！

这么大一票，到底谁干？

据可靠消息：这次攻击始作俑者是美国一位高中生，

在缅因州波特兰高中，FBI已经在路上，如果他没有价值的话，就会上新闻了，

这货真强，犯了大忌，触犯了黑客联盟的宗旨：“不对学生下手，也不针对任何盈利组织”

惹出了全球170多万黑客在线找，首当其冲的是俄罗斯黑客。现在从FBI，到国家安全局，到全球黑客都在通缉

“好了，忘记了告诉你，对半年以上没有钱付款的穷人，会有活动免费恢复。” 感动了有没有？ 

 

下面谈谈这个病毒

 

为什么会被感染？

该勒索蠕虫一旦攻击进入能连接公网的用户机器，则会扫描内网和公网的ip，

若被扫描到的ip打开了445端口，则会使用“EnternalBlue”（蓝之永恒）漏洞安装后门。

一旦执行后门，则会释放一个名为Wana Crypt0r敲诈者病毒，从而加密用户机器上所有的文档文件，进行勒索。 

 为什么使用比特币？

 比特币是一种点对点网络支付系统和虚拟计价工具，

通俗的说法是数字货币。比特币在网络犯罪分子之中很受欢迎，

因为它是分散的、不受管制的，而且几乎难以追踪。

  历史病毒介绍同原理如下

 

在此之前（一）

 不断变换作案手法的敲诈者病毒木马令用户越来越难以察觉。

备受开发者青睐的网站搭建平台WordPress被大范围攻陷，

致使用户在Chrome或Chrome内核浏览器中打开部分使用WordPress平台搭建的网站时出现乱码，

并提示需要下载字体更新程序并执行后才能正常访问。

一旦用户点击下载更新，植入其中的新型敲诈者病毒Spora便会自动运行，将所有用户文件加密。

此次攻击系臭名昭著的“EITest”恶意软件活动所为，已发现不法分子攻陷了Wordpress框架的网站之后，

在该网站正常的页面代码末尾添加JavaScript代码，致使该页面在用户访问时出现乱码，

然后提示下载字体更新程序并执行后才能正常访问。下面可以看到这个代码在源代码中的样子。 

 

 当访问者访问此页面时，脚本将干扰页面的文本，使其出现乱码：

 

随后弹出一个警告窗口，指出该页面因为缺少“HoeflerText”字体无法正确显示，同时提示点击Update按钮从而下载该Chrome字体包。

 

 当用户单击Update按钮时，弹出窗口会自动下载名为Chrome Font v1.55.exe的文件并将其保存到默认下载文件夹，

然后跳转到一个说明页面，提示如何找到和运行下载的字体更新程序。

Chrome Font v1.55.exe实际上是Spora 系列敲诈者病毒。用户一旦运行该病毒，

电脑上所有工作和个人文件将会被加密而无法使用。当完成对文件的加密时，

电脑将显示敲诈页面，告知中招者登录Spora支付网站以确定赎金金额或付款。 

 

 目前已知存在Wordpress漏洞并且遭到攻击的网站有：

 

攻击者将病毒程序伪装成Chrome的Google字体更新程序，从而诱骗人们运行它。

由于用户身处攻击者造成的网页乱码“环境”中，很容易误以为真的是字体出现问题，进而下载运行准备好的“修复程序”，

一旦用户双击并执行该程序，就会中招。这种攻击方式技术难度不算太高，但是借由网站字体更新很容易令用户降低防备。

同时提醒大家，上网时如若遇到类似的情况，建议暂时停止访问该网站，并开启杀毒软件，实时拦截木马。

“敲诈者”（二） 

 

只需一封邮件，便能锁定电脑重要文件进行敲诈

席卷全球的敲诈风暴，公司被迫支付赎金

这些破坏力强大、影响恶劣的木马，是如何传播到受害者电脑上的呢？

木马的常用传播渠道是通过邮件进行传播，将木马伪装成邮件附件，吸引受害者打开。

其中，最常见的附件格式是微软的Office文档，木马使用文档中的宏功能执行恶意命令，

再从网上下载真正的恶意程序，对受害者电脑进行攻击。

在木马入侵受害者电脑的每一步，都有一些固定的套路和模式。

在木马传播的第一步，即发送带木马的邮件时，不法分子通常会使用一些正常的公务主题进行伪装，

诱使受害者打开附件。此前汪为遇到的假冒邮件，是假称快递除了问题；除此之外，常见的主题还包括发票、

费用确认等。一个明显的现象是，处于财务、会计、对外关系等职位的员工，每日收发的同类邮件较多，

对于这类邮件容易降低警惕心，因此容易成为不法分子发送邮件的目标。

如果受害者打开了带木马的宏文档，由于高版本Office中，默认是不开启宏的，

所以木马会在文档正文中诱导用户启用宏，使得恶意代码得以执行。

 

在恶意可执行文件被运行起来之后，不法分子就可以任意操作受害者的电脑。

比如下面这个木马，在检测虚拟机和两步注入后，最终在svchost里边进行实际恶意行为，将可执行文件添加至启动项并连接远程服务器：

在可执行程序与黑客的远程服务器保持通信之后，受害者的电脑已经被黑客占领，

最重要的一步已经完成。当然，这个例子中木马的目的是在受害者的电脑中植入后门，

不过同样的手法，在加密敲诈类木马中已经被证明同样有效。

除了在邮件附件中放置文档之外，还有一些其它的文件格式被用于木马的传播。这些格式有的是可以直接运行的脚本格式，

例如Powershell、js、vbs等，有的是格式关联的可执行文件具有一定的任意执行能力，例如JAR、CHM等。

哈勃分析系统此前捕获的“窃听狂魔”、“冥王”等木马，都是通过不同的格式执行恶意行为。

 

到此谈谈我们的WannaCry

这个病毒与以往的不同

我感觉就是摆明了要钱

 

永恒之蓝的背景

永恒之蓝是什么

方程式(Equation Group)据称是 NSA(美国国家安全局)下属的黑客组织，

有着极高的技术手段。但是就是这个很厉害的组织也是明枪易躲暗箭难防。

在2016 年 8 月有一个 叫“Shadow Brokers”的黑客组织入侵了方程式组织并搞到了了大量方程式组织的机密文件。

本来“Shadow Brokers”想把这些工具高价卖给各国政府或者其他的神秘组织，

但是因为没人理他，这个组织就把他们窃取到的机密文件公开了出来博人眼球。

这些机密文件包括很多Windows系统的0day漏洞，永恒之蓝(ETERNALBLUE)就是其中的一个。

这个漏洞破坏性极强，可以远程执行破坏性代码而不被发觉。 

如何预防 

 

1、及时更新最新的操作系统补丁。
2、关闭操作系统不必要开放的端口如445、135、137、138、139等，关闭网络共享。

3、定期备份重要文件数据。 

4、 也可参考360解决方案下载360的NSA武器库免疫工具：http://dl.360safe.com/nsa/nsatool.exe

5、360解决方案参考地址：http://www.360.cn/weishi/news.html?i=news0513p

 

    该漏洞的相关说明、补丁：

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

 

 

但是关键是很多人不知道怎样关闭这些端口，如果你本周末还没有使用电脑，在打开电脑前，切记要先断掉电脑的网络（比如拔掉网线、关闭路由器、wifi的电源等等）

接下来打开电脑，进行端口关闭的操作，关闭网络共享也可以避免中招，然后在联网打补丁。

关闭 445、135、137、138、139 端口

 

本文章为本人网络收集整理而成

如有侵权请务必转告