夜雨聆风2022 年 5 月 22 日下午,我想起浏览器书签新增了不少,但是好久没同步了,于是打算使用浏览器的一个代理工具插件进行同步。
这个插件以前也用过,但是很久没用过了,这次打开后突然弹出一个名为System.Upgrade.Win10.0-KB49547675.msi的windows installer 安装包,我以为这个插件升级了,需要系统软件同步升级才可以使用,鉴于自己手动安装过很多这样的安装包,而且基本上这类安装包都是微软官方的,便毫不犹豫地点击安装。
点击安装后,火绒立马弹出拦截警告并拦截了一些进程。
【9】2022-05-22 15:17:00,系统防护,系统加固,scrobj.dll触犯敏感动作防护规则, 已阻止【10】2022-05-22 15:16:59,系统防护,系统加固,scrobj.dll触犯敏感动作防护规则, 已阻止【11】2022-05-22 15:16:56,系统防护,系统加固,scrobj.dll触犯敏感动作防护规则, 已阻止【12】2022-05-22 15:16:56,系统防护,系统加固,scrobj.dll触犯敏感动作防护规则, 已阻止【13】2022-05-22 15:16:49,系统防护,系统加固,scrobj.dll触犯敏感动作防护规则, 已阻止【14】2022-05-22 15:16:49,系统防护,系统加固,scrobj.dll触犯敏感动作防护规则, 已阻止【15】2022-05-22 15:16:48,系统防护,系统加固,scrobj.dll触犯敏感动作防护规则, 已阻止【16】2022-05-22 15:16:47,系统防护,系统加固,scrobj.dll触犯敏感动作防护规则, 已阻止【17】2022-05-22 15:16:32,病毒防护,文件实时监控,发现病毒Trojan/W64.Injector.y, 已处理病毒名称:Trojan/W64.Injector.y病毒ID:1A8B87E79D1762B0病毒路径:C:\Windows\Installer\MSI40DA.tmp我当时还没意识到什么,电脑突然变卡顿,我也没意识到发生了什么事,直到回到桌面发现桌面的一大堆文件图标全变为空白,文件名末尾莫名其妙地加了fcdvcsu后缀,立马意识到中病毒了,马上将电脑关机。
电脑重新开机后不卡顿了,但是文件名新增的后缀还在,我试着删去后缀,但是删完后打不开文件,又尝试以文本形式打开,得到的是一串乱码。
正当我打算用别的软件打开时,发现桌面多了一个README.html文件,打开后才知道中了勒索病毒了,上面写的意思是:
我的重要文件全被加密了,修改文件会损坏文件,必须向对方购买解密软件才能解开,5 天内需支付 0.09 比特币(约 2727 美元,大概是人民币 18845 元),5 天后涨至 0.18 比特币(约 5453 美元,大概是人民币 37582 元)。
将近 2 万的价格,并没有什么特别重要的文件,付是不可能付的,我在想是不是只有桌面文件被加密,那损失并不大。
进各个盘查看文件,发现全给加密了,加密的都是常用文件,比如文本、表格、幻灯片、图片、音频、视频、代码文件,数据库文件也加密了,我再仔细检查了一遍,我的笔记文件并没有受到影响,还好自己多年的积累还在,已经是不幸中的万幸了。
笔记还保留着是意外之喜,但是毕业论文被加密了可是大麻烦,眼看着都要答辩了,WPS 那边也没有备份,其他云盘、硬盘、U盘也没有任何备份。
于是通过多种途径查找解决办法,包括:
1.继续研究这个README.html文件,看看有没有什么漏洞,或者说能不能聊聊打个折,但是没有发现任何聊天入口,只有一个类似使用帮助的窗口,说付款有疑问可以在这里联系,并且特地强调不要说自己是学生就哭穷,那没办法了,只能另寻他路了。
2.网上查找解决办法。查找相关内容,有人推荐使用解密工具,我先后使用了 360、卡巴斯基等具有解密工具的软件,但是没有针对这种加密格式的;去各种勒索病毒解密网站,也没有针对这种加密格式的。
3.询问专业人士。发邮件询问但是没有回复;联系专门的安全公司的技术人员,要么说解不了,要么说可以解,但是费用巨高,2 万多(一度怀疑是一伙的),比黑客给的价还高,对方还给我看了解密的效果,确实能解密,但是价格过高了。最后有一个比较实诚的技术人员说这种勒索病毒是最新的,目前没有免费的解密器,赎金过贵,还是等待几个月出了免费的解密器再来。
最后没办法,找到了本科导师,导师那里还有一份,但是是一个月前的版本,自己花了一些时间把进一个月改动的部分给补上了,还好这一个月没怎么改动数据,不然重新收集数据跑回归根本来不及。
几个月后我再去查找知名安全公司的解密工具、解密网站,依旧没有看到针对这种加密格式的解密器,只能作罢,直到现在。