V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
zlfzy
V2EX  ›  问与答

公司一 win 服务器中勒索病毒了

  •  
  •   zlfzy · 2017-10-30 16:06:49 +08:00 · 3596 次点击
    这是一个创建于 2613 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公司一台 OA 服务器中招了,文件全部被改成了.arena 结尾,现在需要找几家能处理这个文件恢复的公司来咨询一下,求助下 V 友,有知道的话给个公司名字或者官网,我拿去好交差。 我在网上找了一家位于深圳的 X 瑛科技,还需要再找一家,咨询比价一下。

    8 条回复    2017-10-30 20:08:47 +08:00
    gamexg
        1
    gamexg  
       2017-10-30 16:14:55 +08:00
    勒索病毒存在 3 种情况:
    1.作者或者反病毒公司公布了密钥,直接用公开程序可解。
    2.病毒实现有问题,例如未复写原始文件,而是直接删除,这种按照误删的尝试恢复。
    3.病毒实现没问题,那么只能搜索下交钱的给解锁了没...

    第 2 种可能还有加密程序加密完忘记清空密钥,在加密程序未关闭时可以尝试搜索密钥,但是如果加密程序已经关闭(例如重启过)就无效了。
    zlfzy
        2
    zlfzy  
    OP
       2017-10-30 16:20:09 +08:00
    @gamexg 学习了,谢谢回答,我前天谷歌找了好久也没找到能还原的工具,网上有些公司说知道这个加密的原理,可以恢复,我们准备花钱修复一下
    boboliu
        3
    boboliu  
       2017-10-30 16:28:08 +08:00 via Android   ❤️ 1
    如果实现有问题,例如使用 ECB 模式加密,或者 key 直接存在本地,是可以很容易解密的。否则就只有靠文件恢复碰运气了。

    祝好运。

    以及现在能找到的解密工具主要由以下两个来源释出:nomorerabsom,和卡巴斯基的 noransom。
    boboliu
        4
    boboliu  
       2017-10-30 16:29:46 +08:00 via Android
    @boboliu 手机实在操作麻烦。。。手滑写错了,是 nomoreransom
    qianguozheng
        5
    qianguozheng  
       2017-10-30 16:31:43 +08:00
    没准就是这两家公司勒索的你
    nfroot
        6
    nfroot  
       2017-10-30 19:53:44 +08:00
    @gamexg 看来你不知道勒索软件作者也知道“误删”的方式很容易恢复,所以早就加入了第四种,那就是删除前先写入大量无用数据在你的文件里,然后删除。

    亲历者表示你小看了病毒作者
    lsylsy2
        7
    lsylsy2  
       2017-10-30 20:07:50 +08:00
    @nfroot 不是,楼上哪里不知道了?他的第二种不就是吗
    nfroot
        8
    nfroot  
       2017-10-30 20:08:47 +08:00
    @lsylsy2 好吧……我阅读障碍严重 唉。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3685 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 00:50 · PVG 08:50 · LAX 16:50 · JFK 19:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.