麻烦大家帮看看，这个是凉了还是能抢救一下

正常使用中的电脑挂机下载东西，第二天起来就中了勒索病毒了，主要是许多年里自己下载的视频和软件什么的，最重要的就是N年里家庭的各种照片和视频了，这个是一首凉凉送给自己，还是坚持“我还能抢救一下”。

右下角那个文本用百度翻译了下



这个是勒索文本：
Danger: our contacts change every 3 days, do not hesitate, contact us immediately. Then we will not be available.

Attention: if you do not have money then you do not need to write to us!

The file is encrypted with the RSA-2048 algorithm, only we can decrypt the file.

====================================================================================================
                                        Jabber: [url=mailto:\[email\]fastsupport@xmpp\.jp\[\/email\]]\[email\]fastsupport@xmpp\.jp\[\/email\][/url]
                If you do not have a jabber. To write to us to register: https://www.xmpp.jp
====================================================================================================
Your files are encrypted!
Your personal identifier:
6A02000000000000F7D22DF21D91C101C330080357C22040ECBF582F7D25C6064ED20B9D9F74F36626D6EFB9D5CEECD0F329
FD2E56799DA5AB92DE57AFBEB98EA94815C79532F8DCF5E45BABF9B9F4CC76EDAA723234BD9719D67A23239762A62EDB71F4
65D6546F4CDCEB698DAF77CEE6F986AACADBF12A665E4B546280F53DEE790C7D831154B3EAE5196EC763259FE1F4366B73EA
F68DF74360AB9B17B07BD2F55CB1D7E517F0BF15B32EB29BDBECCD1EE45CDDF8F363C5D0E5898D928CADB9307305604709AE
3768FB58C5E6454B97183418CABA7B2986EB580C151796E66A46F2A34133C4507F344693C9D1D8B15F107008A78348B0EC3D
06F733F64F1249659227E7A80B482714FD6064E7122449DCA3482EE45DA70723C9DC25FA2C54D0B065E3B9D7414AE403A06F
1B7B955814DB8D3F080ED6C741B29440254E9AD158593F
====================================================================================================
To decrypt files, please contact us by jabber:
[url=mailto:\[email\]fastsupport@xmpp\.jp\[\/email\]]\[email\]fastsupport@xmpp\.jp\[\/email\][/url]
====================================================================================================

The file is encrypted with the RSA-2048 algorithm, only we can decrypt the file.

Attention: if you do not have money then you do not need to write to us!

Danger: our contacts change every 3 days, do not hesitate, contact us immediately. Then we will not be available.

红色狂想 发表于 2018-7-12 22:28
前几天在隔壁还看到两个中的，怎么，撸主难道也是机房专线独立ip部署好windows server系统后不打补丁保持更 ...

就是用一台退役的电脑主机挂了几个硬盘当家庭简易nas用着，我的补丁都是用的卫士直接打的，中标当天早上我用手机远程桌面连接，看到桌面就是这个样子了，但是我还开着迅雷，而且迅雷还能正常下载文件，然后但是是弹出了几个标题是C++的警告信息，关闭几个警告信息后发觉右下角卫士什么都直接退出了，当时也没有引起什么重视，我就直接按win键点选了注销，结果电脑直接关机了，等我重新开机，看到桌面那个文本文件的时候百度了下才反应过来中招了，现在就是不知道是直接凉凉全盘格式化，还是等段时间看看能不能抢救一下。

羽落风尘 发表于 2018-7-12 22:59
这是怎样感染的

我也不知道啊，补丁什么的也是打了的（用的卫士打的补丁，所有可选补丁没打），前一天是正常使用着的，当天晚上是开通宵挂迅雷，第二天早上手机远程桌面连接的准备关机的时候发现就成那样了。

我用的win7系统，然后打补丁就是用的卫士打的，各种可选补丁都没有打，用了SMB共享，然后为了手机远程桌面登录关机我还在路由器里直接端口转发3389端口到我的中毒机，看了看隔壁分析的一些原因好像我全中

XXHJACK 发表于 2018-7-13 10:56
3389你不转换一下直接上真是心大。我想服务器也没装杀毒软件吧。。。。。。。。。。看你舍不舍得花那个钱恢 ...

当时只是想手机远程关机，自己对什么端口什么的都是不懂，在网上随便逛的时候看到别人说路由映射3389端口可以达到我要的效果就直接上马了，完全没有考虑安全问题；金山毒霸算杀软吧，中毒机用的金山全家桶，当然快速扫描的时候是忽略了共享风险提示的，中招那天早上是直接毒霸和卫士直接已经退出了，当时开着迅雷，迅雷正在下载文件（看到有速度），弹出了几个C++标题的框框，我点选确定后直接按win键注销系统，然后系统是自己直接关机了，我也完全没有当回事就去上班了，下午下班回家开机看到那个勒索文本文件才知道中招了。
中毒机里面就是仓库盘集中，主要是下载的电影、美剧、小姐姐、软件安装包、游戏安装包什么的，最重要的就是N年里的家庭照片和视频，不过大部分都在云端有备份，所以花钱恢复是不可能的，最近只是过得比较佛(lan)系(duo)，现在就是考虑是不是全盘格，还是凉它几个月，到时看看有没有专杀工具什么的......

vipspy 发表于 2018-7-13 17:19
我有个逆思维，不知道行不行。
先删除某几张图片，然后用硬盘文件恢复软件，把文件恢复（不知道会不会原有 ...

谢谢回复，中毒机没有太多重要东西（重要的就是家庭照片和视频，大部分有云端备份），所以现在就是考虑是全盘格还是凉几个月等专杀工具。

wanfeng304 发表于 2018-7-13 10:07
心疼lz，我自己的硬盘挂了，宝宝的照片和文件都没有了。勒索病毒要几个比特币？
...

有些时候照片什么的用用云端还是蛮不错的。

XXHJACK 发表于 2018-7-13 21:24
直接全格！直接映射3389还不如开机一直tm！金山毒霸也叫杀软。。。。。。。。。

...

谢谢回复。
好吧，我直接格式化吧。重装以后我干脆裸奔算了，以后也就随便放放数据了。

悲痛莫名 发表于 2018-7-13 22:39
中这病毒就两个原因 一个是该打的补丁没打 另外一个就是弱口令 密码稍微复杂一点 就算暴力穷举都不怕
我的 ...

那我估计我就是补丁没打，我的密码是小写字母+数字的14位组合应该算复杂了吧；360那个我已经试过了，无法分析

NuclearBomb 发表于 2018-7-14 22:53
勒索病毒？肯定凉了

是的，凉了，已经全盘格了。