他勒索我

被敲詐了！

公司最近接了筆大業(yè)務(wù)，所有人都很緊張忙碌。中午同事過來借用電腦，筆者正準(zhǔn)備出去吃飯就答應(yīng)了。誰知回來卻發(fā)現(xiàn)所有的文檔、報表，還有給客戶演示產(chǎn)品資料的PPT文件全部消失了！

追問后才知道當(dāng)時他打開的網(wǎng)頁太多造成系統(tǒng)死機，重啟之后發(fā)現(xiàn)自動彈出個文件，大意說硬盤資料受損必須修復(fù)。同事信以為真，按照提示運行了一個程序，結(jié)果就變成了這樣。

果然，筆者重啟電腦后，自動彈出了一個“ 拯救硬盤”的文本文件（圖1）。文中說得挺蒙人的，但是怎么看都像是惡作劇，按照步驟做下去，就會彈出圖2的提示。看到這個，筆者不怒反笑了，這個敲詐手段也太“弱”了點吧。

現(xiàn)在可以肯定的是系統(tǒng)已經(jīng)中了病毒或是惡意程序了，先斷開網(wǎng)絡(luò)防止公司內(nèi)部網(wǎng)絡(luò)受到更大的破壞，再用殺毒軟件全面掃描，結(jié)果卻一無所獲。

原來是這樣敲詐勒索的

不過，筆者現(xiàn)在反而相信Office文檔并沒有被刪除了，趕緊借用同事的電腦上網(wǎng)搜索。幸運的是，很快就查到了這就是才出現(xiàn)的“敲詐者”病毒，再以“敲詐者病毒”為關(guān)鍵字找到了更多信息。

原來木馬程序名為r e d p l u s . e x e ，本身僅有200KB大小。根據(jù)搜索到的資料，筆者在C:\\Windows\\System32下找到了它。又在系統(tǒng)根目錄下又發(fā)現(xiàn)一個名為“控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D}”的奇怪東西。雙擊它能進入控制面板，好像是個快捷方式。但查看它的屬性卻發(fā)現(xiàn)是個文件夾，內(nèi)含很多文件（圖3）。

原來被刪除的文件都在這里。“敲詐者”會將所有的Office、WPS文檔以及壓縮文件移動到這個文件夾中，利用其具有“只讀、隱藏和系統(tǒng)”三重屬性的特點隱藏文件，從而制造資料丟失的假象。

收拾病毒，找回資料

依據(jù)病毒特征，打開“控制面板”→“文件夾選項”→“查看”，去掉“隱藏受保護的操作系統(tǒng)文件”前的鉤，否則無法看到上文提到的特殊文件夾。

進入系統(tǒng)根目錄，把文件夾“ 控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”修改成其他名稱。然后雙擊進去就可以看到所丟失的文件了。如果這些文件的屬性也被修改，可以打開“命令提示符”，將路徑設(shè)置到修改后的文件夾下，輸入“attrib–r–h–s/s”（不含引號，每個擴展參數(shù)之間有空格），一次性將所有文件修改完畢。

提示 Attention

江民提供了“敲詐者”專殺工具，可以方便安全的恢復(fù)資料。下載地址：http://www.jiangmin.com/download/jmfilerecover.exe

目前，瑞星、金山等殺毒軟件在升級到最新病毒庫后都能夠檢測、清除該木馬程序。不過由于病毒作者已經(jīng)在網(wǎng)絡(luò)公開“敲詐者”的源代碼，不斷產(chǎn)生了危害更大的新變種，令用戶找回資料更加困難。

為防患未然，筆者強烈建議大家千萬不要隨意運行不明程序，及時更新病毒庫，經(jīng)常瀏覽各大殺毒公司主頁，繼續(xù)關(guān)注其他變種的消息及防殺措施。

本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。