近日，勒索病毒席卷全球PC，這種病毒通過(guò)威脅用戶(hù)數(shù)據(jù)安全而勒索“比特幣”，引發(fā)眾多電腦用戶(hù)恐慌?，F(xiàn)在問(wèn)題來(lái)了，中了勒索病毒能恢復(fù)嗎？下面腳本之家的小編就來(lái)簡(jiǎn)單說(shuō)一下電腦中了勒索病毒解決方法。

Q：中了勒索病毒能恢復(fù)嗎？

A：勒索病毒是此前活躍的勒索軟件Wallet的一類(lèi)變種，運(yùn)用了高強(qiáng)度的加密算法難以破解，被攻擊者除了支付高額贖金外，往往沒(méi)有其他辦法解密文件，只有支付高額贖金才能解密恢復(fù)文件。

雖然病毒爆發(fā)初期，文件恢復(fù)方面沒(méi)有辦法，但目前各大安全廠商都紛紛推出了查殺恢復(fù)工具，包括360安全衛(wèi)士、金山衛(wèi)士、QQ電腦管家等，目前這些安全軟件都可以為中勒索病毒能電腦恢復(fù)文件，因此中了勒索病毒能恢復(fù)的，千萬(wàn)不要去交贖金恢復(fù)數(shù)據(jù)。

Q：電腦中了勒索病毒解決方法？

一旦電腦中了病毒，大家可以首先想到要去下載殺毒軟件進(jìn)行查殺，目前微軟自帶的殺毒軟件、360殺毒、金山殺毒、電腦管家殺毒等工具都可以清理病毒并恢復(fù)數(shù)據(jù)，因此首先去下載殺毒軟件去清理病毒。

金山數(shù)據(jù)恢復(fù)專(zhuān)業(yè)版 v2.0 免費(fèi)綠色版

• 類(lèi)型：數(shù)據(jù)恢復(fù)
• 大?。?/span>2.27MB
• 語(yǔ)言：簡(jiǎn)體中文
• 時(shí)間：2015-07-27

查看詳情

圖為金山毒霸正恢復(fù)中了勒索病毒的電腦文件

如果遇到一些安全軟件無(wú)法安裝，建議在電腦安全模式下安裝。

另外，如果電腦中沒(méi)有重要數(shù)據(jù)，也可以通過(guò)重裝系統(tǒng)的方式解決。尤其是XP用戶(hù)，建議重裝最新的Win10安全系統(tǒng)，以提升電腦安全。

對(duì)于還沒(méi)中勒索病毒的電腦，建議及時(shí)更新安全補(bǔ)丁，關(guān)閉電腦445端口，及時(shí)備份重要數(shù)據(jù)等。

如果不幸中招，我們?nèi)绾螄L試恢復(fù)被惡意加密的資料文件，下面帶來(lái)電腦中了勒索病毒的恢復(fù)解決方法。

在測(cè)試病毒的時(shí)候，小編就發(fā)覺(jué)一個(gè)奇怪的現(xiàn)象，在WannaCry未完成加密時(shí)，被加密文件目錄下出現(xiàn)了原文件與被加密后的文件共存現(xiàn)象，待WannaCry病毒加密完畢后，資料原文件就不見(jiàn)了，應(yīng)該是給刪除了。

圖2 原文件與加密后文件并存的短暫時(shí)間

WannaCry敲詐者病毒加密后的文件能恢復(fù)么？實(shí)測(cè)一下

如果原文件只是給簡(jiǎn)單做了刪除操作，那么我們就有了恢復(fù)原文件的希望。但如果病毒在刪除文件時(shí)，做了“清除”文件操作，也就是在刪除文件后用隨機(jī)數(shù)據(jù)填充被刪除文件所在存儲(chǔ)地址，那就沒(méi)多少希望進(jìn)行數(shù)據(jù)恢復(fù)了。

不管如何，咱來(lái)實(shí)測(cè)一下。

首先，在測(cè)試機(jī)的D盤(pán)上放上測(cè)試目錄“手機(jī)qq7.0”，里邊包含了圖片類(lèi)型文件與文本文件與office文檔，共計(jì)文件30個(gè)。

圖3 測(cè)試文件夾內(nèi)容

接著小編在測(cè)試機(jī)上運(yùn)行WannaCry病毒（請(qǐng)勿模仿，資料數(shù)據(jù)文件灰飛煙滅可不是鬧著玩的），過(guò)了一會(huì)，測(cè)試文件夾的資料文件就給惡意加密了。

圖4 測(cè)試文件夾里的資料全部被惡意加密

接著，小編安裝了一款數(shù)據(jù)恢復(fù)軟件，嘗試對(duì)被刪除的原文件進(jìn)行恢復(fù)操作。

圖5 啟動(dòng)數(shù)據(jù)恢復(fù)軟件

測(cè)試結(jié)果讓小編吃驚，竟然成功的找到了被病毒刪除的原文件，趕緊的嘗試恢復(fù)操作。

圖6 成功找到被病毒刪除的原文件

圖7 嘗試進(jìn)行被刪除文件的恢復(fù)操作

結(jié)果就是，小編成功地恢復(fù)了被病毒刪除的原文件。

圖8 成功恢復(fù)原文件

測(cè)試到此，可以慶幸的是，WannaCry病毒并沒(méi)有對(duì)原文件進(jìn)行清除操作。不過(guò)有研究人員說(shuō)WannaCry病毒會(huì)對(duì)資料原文件進(jìn)行清除操作，難道需要更多的等候時(shí)間病毒才能完成清除操作？難道是新變種？需要注意的是，這個(gè)方法并不是解密被病毒加密的文件，被病毒加密的文件采用了高強(qiáng)度加密方式，沒(méi)有病毒作者手里的密鑰，破解幾率渺茫。

（更新，有研究表明，該病毒對(duì)小于1.5M的文件才進(jìn)行了全部加密，對(duì)于大于1.5M的文件采用的是非高強(qiáng)度加密方式，可能是病毒作者為了加快加密速度所設(shè)置的，本文也將介紹一下大于1.5M的文件的恢復(fù)方法，你也可以嘗試一下，具體方法請(qǐng)往下看）。死馬當(dāng)活馬醫(yī) 數(shù)據(jù)恢復(fù)的注意事項(xiàng)

不管怎樣，中招者可以嘗試恢復(fù)一下文件，死馬當(dāng)活馬醫(yī)還是可以的。需要注意的是，數(shù)據(jù)恢復(fù)在支持TRIM的SSD硬盤(pán)上恢復(fù)數(shù)據(jù)的機(jī)會(huì)幾乎為零。當(dāng)你嘗試自行恢復(fù)被誤刪除文件前，請(qǐng)仔細(xì)閱讀下邊的注意事項(xiàng)，切記！

　　普通用戶(hù)想要自行恢復(fù)文件，需要有幾個(gè)基本的條件與注意事項(xiàng)：

第一：被恢復(fù)文件所占空間（磁盤(pán)分區(qū)）不能寫(xiě)入新文件。因?yàn)樾挛募褂玫拇疟P(pán)空間可能正是你想要恢復(fù)文件所占的空間，舊文件被新文件所替換，將使得恢復(fù)操作變得困難。

所以，你發(fā)現(xiàn)文件丟失，第一時(shí)間應(yīng)該停止一切操作。如果被丟失的文件位于系統(tǒng)盤(pán)，更是需要進(jìn)行立刻的斷電操作。在本文，建議一發(fā)現(xiàn)病毒感染，立刻關(guān)閉計(jì)算機(jī)，然后，將硬盤(pán)掛接到其它電腦中，以從盤(pán)形式加載，從中避免新文件的寫(xiě)入。

需要注意的是，瀏覽網(wǎng)頁(yè)、下載及安裝數(shù)據(jù)恢復(fù)軟件也是一系列的文件寫(xiě)入操作，所以最好的操作就是以從盤(pán)形式加載，避免這些文件操作影響到文件的恢復(fù)成功機(jī)率。安裝數(shù)據(jù)恢復(fù)軟件時(shí)，一定不要安裝到需恢復(fù)數(shù)據(jù)文件所在磁盤(pán)分區(qū)。

如果沒(méi)有第二臺(tái)電腦，那么就只能在本機(jī)中進(jìn)行數(shù)據(jù)恢復(fù)操作了，你可以用U盤(pán)PE系統(tǒng)來(lái)引導(dǎo)電腦啟動(dòng)然后再在PE系統(tǒng)中進(jìn)行文件恢復(fù)操作。

總之要記住的是，不要往被恢復(fù)文件所在分區(qū)寫(xiě)入任何數(shù)據(jù)，比如保存文件、修改文件等的操作都是需要禁止的，安裝恢復(fù)軟件也記得安裝到其它分區(qū)啊。

那個(gè)啥，如果你要恢復(fù)的資料涉及上百萬(wàn)，或者是有紀(jì)念意義的老照片等等的寶貴資料，那么建議你立刻停止嘗試自行恢復(fù)，把硬盤(pán)拆下來(lái)，交給專(zhuān)業(yè)人士去進(jìn)行數(shù)據(jù)恢復(fù)操作，就別瞎折騰了，以免增加恢復(fù)難度。你也別交給樓下的電腦店啊，說(shuō)不準(zhǔn)他用的就是小編所用的軟件，有的還會(huì)胡搞瞎搞。

數(shù)據(jù)恢復(fù)簡(jiǎn)單指南 有了它們你也可以恢復(fù)被誤刪除的文件

然后就是選擇啥恢復(fù)軟件的問(wèn)題，現(xiàn)在的數(shù)據(jù)恢復(fù)軟件大多都大同小異，相同的是，大多數(shù)都不是免費(fèi)的。較為知名的有Finaldata、EasyRecovery、O&O DiskRecovery 、RecoverMyFiles、DiskGenius、易數(shù)數(shù)據(jù)恢復(fù)精靈等，還有金山毒霸里邊的金山數(shù)據(jù)恢復(fù)，不過(guò)大多都不是免費(fèi)的，要注意的是不要下載到帶病毒版的了。因?yàn)樾枰謴?fù)的文件一般都比較的寶貴，黑客們也喜歡這些資料哦。目前國(guó)產(chǎn)殺毒軟件推出了免費(fèi)恢復(fù)文件工具，你也可以試試。

這里介紹的是EasyRecovery，這個(gè)工具使用比較簡(jiǎn)單。

EasyRecovery易恢復(fù)軟件 企業(yè)版 11.1.0.0 中免費(fèi)文安裝版

• 類(lèi)型：數(shù)據(jù)恢復(fù)
• 大小：6.33MB
• 語(yǔ)言：簡(jiǎn)體中文
• 時(shí)間：2015-03-19

查看詳情

EasyRecovery的安裝簡(jiǎn)單，下一步策略就可安全完畢，記得不要把它安裝在待恢復(fù)文件所在分區(qū)。

圖9 記得修改安裝路徑

EasyRecovery的使用簡(jiǎn)單，軟件使用向?qū)Ｊ?，基本上看著向?qū)崾揪涂梢酝瓿晌募謴?fù)操作，比較的輕松愉快。在媒體類(lèi)型選項(xiàng)中我們看到EasyRecovery支持對(duì)硬盤(pán)及移動(dòng)存儲(chǔ)器如U盤(pán)、SD卡等的設(shè)備進(jìn)行數(shù)據(jù)恢復(fù)操作。

此例中我們恢復(fù)的是硬盤(pán)數(shù)據(jù)，選擇后可以進(jìn)行硬盤(pán)分區(qū)的選擇，選擇接著就是恢復(fù)已刪除的文件和文件系統(tǒng)類(lèi)型，一般勾選FAT+NTFS就可。接下來(lái)就是一段時(shí)間搜索過(guò)程，然后就會(huì)顯示找到的被刪除文件，在列表中找到目標(biāo)，將其另存到其它分區(qū)即可，記住不要保存到待恢復(fù)文件所在分區(qū)。

圖10 恢復(fù)向?qū)?/p>

再來(lái)看看一款國(guó)產(chǎn)的非常強(qiáng)大的磁盤(pán)管理工具DiskGenius，在以前老鳥(niǎo)們經(jīng)常用它來(lái)進(jìn)行硬盤(pán)分區(qū)、查錯(cuò)等的操作，現(xiàn)在它也有非常強(qiáng)大的數(shù)據(jù)恢復(fù)功能，來(lái)看看吧。軟件官網(wǎng)在這里。

磁盤(pán)分區(qū)及數(shù)據(jù)恢復(fù)軟件DiskGenius(diskman) v6.0 中文單文件綠色版 32位

• 類(lèi)型：數(shù)據(jù)恢復(fù)
• 大?。?/span>6.83MB
• 語(yǔ)言：簡(jiǎn)體中文
• 時(shí)間：2025-04-18

查看詳情

DiskGenius無(wú)需安裝，下載回來(lái)直接解壓就可使用。操作也相對(duì)簡(jiǎn)單，比較遺憾的是沒(méi)有向?qū)?。恢?fù)文件的操作也比較簡(jiǎn)單，只需要在DiskGenius磁盤(pán)列表的待恢復(fù)文件所在分區(qū)使用右鍵菜單，即可看到“已刪除或格式化后的文件恢復(fù)”選項(xiàng)，選擇后進(jìn)入恢復(fù)選項(xiàng)，可以選擇需要恢復(fù)的文件類(lèi)型。

開(kāi)始后就是一段時(shí)間的掃描，然后就是顯示檢測(cè)到的刪除文件列表，接著就是恢復(fù)文件的操作了。

圖11 DiskGenius恢復(fù)向?qū)?/p>

DiskGenius還有一個(gè)非常好用的功能，那就是可以恢復(fù)丟失的分區(qū)表，這個(gè)功能可以干嘛呢？就是當(dāng)你的硬盤(pán)莫名奇妙的從多個(gè)分區(qū)變成了一個(gè)分區(qū)，或者干脆一個(gè)分區(qū)都沒(méi)有了的時(shí)候使用。筆者就遇到過(guò)多次這種現(xiàn)象，搞不清是什么造成的分區(qū)表丟失的，可是用戶(hù)卻急了，這可不是丟失一兩個(gè)文件，而是硬盤(pán)里的文件全部不見(jiàn)了。

小知識(shí)：硬盤(pán)分區(qū)表可以說(shuō)是支持硬盤(pán)正常工作的骨架。操作系統(tǒng)正是通過(guò)它把硬盤(pán)劃分為若干個(gè)分區(qū)，然后再在每個(gè)分區(qū)里面創(chuàng)建文件系統(tǒng)，寫(xiě)入數(shù)據(jù)文件。簡(jiǎn)單的來(lái)說(shuō)，它記錄了你的硬盤(pán)C、D、E等各個(gè)分區(qū)具體是如何劃分區(qū)域的。

接著筆者熟練的用U盤(pán)PE系統(tǒng)引導(dǎo)電腦啟動(dòng)，然后運(yùn)行DiskGenius，找到菜單欄--工具--搜索已丟失的分區(qū)，接著它就會(huì)一個(gè)一個(gè)分區(qū)的進(jìn)行查找，你需要看看找到的分區(qū)大小是否相符。確認(rèn)后進(jìn)行保存操作。數(shù)據(jù)無(wú)價(jià)，沒(méi)有把握的話(huà)還是請(qǐng)教一下身邊的高手吧。

圖12 DiskGenius分區(qū)表恢復(fù)

此外，使用DiskGenius先備份一下磁盤(pán)分區(qū)表以備不時(shí)之需會(huì)是個(gè)不錯(cuò)的主意。要備份到別的設(shè)備中去哦。

圖13 DiskGenius分區(qū)表備份

大于1.5M的被加密文件有被解密希望？是真的么？

小編剛剛說(shuō)了，如果文件真的被高強(qiáng)度加密方式加密了，那沒(méi)有密鑰解密的幾率就幾乎為零了。不過(guò)，據(jù)國(guó)內(nèi)效率源科技經(jīng)研究發(fā)現(xiàn)，“永恒之藍(lán)”勒索病毒的加密方式主要有兩種。

　　1、WannaCry敲詐者對(duì)大于1.5MB文件的加密方式

對(duì)于大于0x180000字節(jié)(1.5MB)的文件，是按照正常文件總大小整除3，得到每個(gè)間隔塊大小M，將文件分為M、2M大小的兩個(gè)間隔塊，每個(gè)間隔塊的前512扇區(qū)被填0，被加密的512扇區(qū)都會(huì)被填0，并將加密的多個(gè)512扇區(qū)寫(xiě)入到文件尾部。針對(duì)特殊格式的文檔，如docx文檔，可進(jìn)行碎片恢復(fù)。目前，效率源科技技術(shù)工程師已成功開(kāi)發(fā)出免費(fèi)工具——“永恒之藍(lán)”比特幣勒索Office數(shù)據(jù)恢復(fù)工具V1.0。打開(kāi)軟件，導(dǎo)入被加密文件，選擇存儲(chǔ)路徑(建議保存在干凈的移動(dòng)硬盤(pán)或U盤(pán)上)，點(diǎn)擊數(shù)據(jù)分析，即可進(jìn)行數(shù)據(jù)恢復(fù)。

效率源永恒之藍(lán)比特幣勒索Office數(shù)據(jù)恢復(fù)工具 v1.1 最新綠色版

• 類(lèi)型：數(shù)據(jù)恢復(fù)
• 大?。?/span>2.46MB
• 語(yǔ)言：簡(jiǎn)體中文
• 時(shí)間：2017-05-17

查看詳情

也就是說(shuō)，可能基于加密速度考慮，病毒作者并沒(méi)有對(duì)大文件也進(jìn)行高強(qiáng)度加密方式加密文件，這也給文件解密帶來(lái)了希望。小編也嘗試了該工具，不過(guò)不知為何不能成功恢復(fù)文件，表現(xiàn)為點(diǎn)擊了“數(shù)據(jù)分析”后，保存路徑中沒(méi)有文件。不管如何，文件被病毒惡意加密的同學(xué)可以嘗試使用該工具嘗試解密一下。如果真的未經(jīng)過(guò)高強(qiáng)度加密，那還有解密的希望，就是尚不知道病毒是否是真的如此操作。

此外，360安全衛(wèi)士與金山毒霸也有對(duì)應(yīng)的文件恢復(fù)工具推出，同樣可以嘗試一下。

圖14 測(cè)試文件

圖15 測(cè)試文件已被病毒惡意加密

圖16 不知為何沒(méi)有反映

2、WannaCry敲詐者對(duì)大于小于0x180000字節(jié)（1.5MB）文件的加密方式：

對(duì)于小于0x180000字節(jié)的文件，其全部?jī)?nèi)容都進(jìn)行了加密，但是在加密小文件時(shí)，會(huì)先加密，再刪除原文件。也就是說(shuō)，可以嘗試以上邊小編所說(shuō)的方式進(jìn)行刪除文件恢復(fù)操作，而解密被加密的文件就沒(méi)戲。

總結(jié)

萬(wàn)一成功恢復(fù)了被病毒惡意刪除的原文件，趕緊的進(jìn)行異地備份。你也別大意，依據(jù)目前病毒的發(fā)展速度，相信很快就有變種出來(lái)，克服之前病毒的缺陷，使得它更難防范，數(shù)據(jù)文件清除操作也會(huì)加入其中，所以安全為上，裝個(gè)靠譜的殺毒軟件，定期的異地備份，硬盤(pán)有價(jià)數(shù)據(jù)無(wú)價(jià)??！此外，其它的敲詐者病毒有沒(méi)有這個(gè)漏洞尚待發(fā)掘，但小編測(cè)試過(guò)的幾個(gè)敲詐者病毒都是直接高強(qiáng)度加密文件的。

最新評(píng)論