搜索
bottom↓
回复: 30

请教:中了勒索病毒(.adww)要怎么支付赎金?

[复制链接]

出10入95汤圆

发表于 2022-10-7 16:45:21 来自手机 | 显示全部楼层 |阅读模式
要比特币支付吗?不会操作啊😭

出0入0汤圆

发表于 2022-10-7 16:47:14 | 显示全部楼层
好像坛里发过一个网站,先看能不能解密。

出0入93汤圆

发表于 2022-10-7 16:53:08 | 显示全部楼层
先试试这个
https://www.amobbs.com/thread-5769267-1-1.html

出10入95汤圆

 楼主| 发表于 2022-10-7 16:58:44 来自手机 | 显示全部楼层
多谢楼上两位,刚才发现病毒,重置了系统,现在IE浏览器打不开了:(

出13910入5881汤圆

发表于 2022-10-7 17:04:35 来自手机 | 显示全部楼层
ddcour 发表于 2022-10-7 16:58
多谢楼上两位,刚才发现病毒,重置了系统,现在IE浏览器打不开了:(
(引用自4楼)

数据有被破坏吗?如果数据安全,马上格式化重新安装干净系统。

出10入95汤圆

 楼主| 发表于 2022-10-7 17:42:56 来自手机 | 显示全部楼层
armok. 发表于 2022-10-7 17:04
数据有被破坏吗?如果数据安全,马上格式化重新安装干净系统。
(引用自5楼)

刚才看了一下,.c.h文件竟然没有被加密,其他的基本都被加密了,现在重新格式化安装系统,刚才的重置系统还是有些问题

出13910入5881汤圆

发表于 2022-10-7 18:05:46 来自手机 | 显示全部楼层
ddcour 发表于 2022-10-7 17:42
刚才看了一下,.c.h文件竟然没有被加密,其他的基本都被加密了,现在重新格式化安装系统,刚才的重置系统 ...
(引用自6楼)

源文件没有被破坏,那就没有损失啊!

赶紧将所有电脑断网,所有电脑硬盘全部格式化,U盘也要格式化....

是收电邮或不小心点了下载什么东西?

出10入95汤圆

 楼主| 发表于 2022-10-7 18:25:30 来自手机 | 显示全部楼层
armok. 发表于 2022-10-7 18:05
源文件没有被破坏,那就没有损失啊!

赶紧将所有电脑断网,所有电脑硬盘全部格式化,U盘也要格式化....

(引用自7楼)

其他文件被锁也损失大了,其它电脑今天没开机,现在没有被加密的文件拷贝出来,是否也有风险?

是下载文件中招了

出13910入5881汤圆

发表于 2022-10-7 19:01:26 来自手机 | 显示全部楼层
ddcour 发表于 2022-10-7 18:25
其他文件被锁也损失大了,其它电脑今天没开机,现在没有被加密的文件拷贝出来,是否也有风险?

是下载文 ...

(引用自8楼)

这个我没有经验,无法告诉你是否有风险。

去上面的网站找一下有没有杀毒方法提供?

出0入16汤圆

发表于 2022-10-7 19:17:17 | 显示全部楼层
这病毒即使交了钱也不会给你解密,如果是病毒多次加密就很烦(钱白花,网上有案例交了比特币没用),卡巴斯基跑一遍吧,注意不要传染到其他设备上,真解不开只能认栽。

出10入95汤圆

 楼主| 发表于 2022-10-7 19:34:19 | 显示全部楼层
armok. 发表于 2022-10-7 19:01
这个我没有经验,无法告诉你是否有风险。

去上面的网站找一下有没有杀毒方法提供? ...
(引用自9楼)

是的,谢谢老大
现在是先用一个新U盘, 把文件全搞下来先, 作为备用吧

出10入95汤圆

 楼主| 发表于 2022-10-7 19:39:55 | 显示全部楼层
armok. 发表于 2022-10-7 19:01
这个我没有经验,无法告诉你是否有风险。

去上面的网站找一下有没有杀毒方法提供? ...
(引用自9楼)

是的,谢谢老大
现在想先用一个新U盘, 把文件全搞下来先, 作为备用吧, 先用之前备份的文件恢复过来

出20入44汤圆

发表于 2022-10-7 19:55:03 | 显示全部楼层
了解下,哥们你咋中招的?

出0入189汤圆

发表于 2022-10-7 20:08:09 | 显示全部楼层
ddcour 发表于 2022-10-7 18:25
其他文件被锁也损失大了,其它电脑今天没开机,现在没有被加密的文件拷贝出来,是否也有风险?

是下载文 ...
(引用自8楼)

拷贝文件没有风险的,放心干吧

出10入95汤圆

 楼主| 发表于 2022-10-7 20:58:28 来自手机 | 显示全部楼层
天下乌鸦一般黑 发表于 2022-10-7 19:55
了解下,哥们你咋中招的?
(引用自13楼)

D版软件害的啊,就为了个序列号:(

出1135入58汤圆

发表于 2022-10-7 21:22:06 | 显示全部楼层
截个图看看  和网络流传的一样吗

出200入2509汤圆

发表于 2022-10-7 21:54:09 | 显示全部楼层
本帖最后由 t3486784401 于 2022-10-7 21:58 编辑

查了查,adww 使用的是 AES-256,因而除非知道秘钥,否则不好解密。

不过在删除源文件的过程中,adww 只用了简单的删除(无覆盖),因而如果是 HDD 的话,可以考虑用 WinHex 一类软件尝试恢复。

参考这里:https://zh.howtofix.guide/adww-virus-file-2/

出0入471汤圆

发表于 2022-10-7 22:56:39 来自手机 | 显示全部楼层
ddcour 发表于 2022-10-7 20:58
D版软件害的啊,就为了个序列号:(
(引用自15楼)

是不是到处搜序列号什么的,然后就看到个可以生成序列号一类的小程序,弄下来(说不定还附带下了更多的程序,就像一些人安装软件一路next,看到不看一眼那种,然后各种软件装全:)运行后就中招了?

话说我电脑安装系统后已经快15年了,还从来没有重装过系统,天天连着网,从来没有中过毒,也是万幸。。。

出200入2509汤圆

发表于 2022-10-8 00:13:45 | 显示全部楼层
win10 以后自带的勒索软件防护就很好用,建议大家默认开启。
原理就是阻止 exe 向关键文件夹(可自定义)写入文件/修改文件,非微软的 exe 实行白名单制。

实测我 C 语言开个 fopen 向被监视文件夹创建个文件,直接就被阻拦然后系统弹窗.
fopen 返回 NULL,后续操作也就不存在了:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x

出0入16汤圆

发表于 2022-10-8 01:56:51 | 显示全部楼层
网上的工具无解的话,基本就无解了,给钱基本就是给钱而已,解决不了问题的。之前的公司中过一次。数据库文件中了,还有当时文件大,用恢复重建数据救回来。小文件无解

出0入113汤圆

发表于 2022-10-8 06:38:35 来自手机 | 显示全部楼层
ddcour 发表于 2022-10-7 19:34
是的,谢谢老大
现在是先用一个新U盘, 把文件全搞下来先, 作为备用吧

(引用自11楼)

还敢开机阿??一旦开机病毒继续加密,被锁的文件就多了
把硬盘拆下来,装在硬盘盒里用其他电脑把数据备份下。

出0入0汤圆

发表于 2022-10-8 08:56:49 | 显示全部楼层
不用中毒的硬盘开机,拆硬盘下来,挂别的正常机器中开,病毒不会再发作了吧,再拷还有用的文件出来

出0入0汤圆

发表于 2022-10-8 17:12:07 | 显示全部楼层
去火绒官网看看

出10入95汤圆

 楼主| 发表于 2022-10-9 18:40:09 | 显示全部楼层
t3486784401 发表于 2022-10-7 21:54
查了查,adww 使用的是 AES-256,因而除非知道秘钥,否则不好解密。

不过在删除源文件的过程中,adww 只用 ...
(引用自17楼)

大师,貌似没有删除?直接用算法加密了文件, 我理解对吗?

出200入2509汤圆

发表于 2022-10-9 18:43:59 | 显示全部楼层
本帖最后由 t3486784401 于 2022-10-9 18:45 编辑
ddcour 发表于 2022-10-9 18:40
大师,貌似没有删除?直接用算法加密了文件, 我理解对吗?
(引用自24楼)


原来为明文文件 a,存储于硬盘 AAAAA 物理位置;
加密后变为密文文件 b,另存于硬盘 BBBBB 物理位置(与 AAAAA 不重叠),
之后标记删除了 AAAAA 位置的内容:仅标记删除,不覆盖 AAAAA 内容

如果是 HDD 磁盘,大概率可以分析出 AAAAA 位置,然后拷贝出 a 文件即可。
如果是 SSD 磁盘,基本上标记删除就后台销毁了,很难再找回 AAAAA 位置。

------------------------------------------------

不过看你描述,硬盘格式化了,基本上大概率会擦除到 AAAAA 位置,也就彻底断了恢复的可能

出10入95汤圆

 楼主| 发表于 2022-10-9 18:47:31 | 显示全部楼层
t3486784401 发表于 2022-10-9 18:43
原来为明文文件 a,存储于硬盘 AAAAA 物理位置;
加密后变为密文文件 b,另存于硬盘 BBBBB 物理位置(与  ...
(引用自25楼)

多谢大师!
系统用的是SSD磁盘,已经格式了,
资料在HDD磁盘上, 还没有格式化, 现在找下恢复软件尝试一下, 十分感谢!

出0入10汤圆

发表于 2022-10-9 21:36:40 | 显示全部楼层
    WIN 勒索病毒,无处不在,今天凌晨中招了(数据有提前完整的备份,无损失,需要浪费时间重新装机了)。      过程:打电话给电信,申请更改成动态公网IP。国庆期间,折腾了一台淘汰的笔记本电脑,装了SVN,作为个人的文件服务器。为了远程方便,路由器上做 3389端口的NAT转换,  admin,没有设密码(缺乏安全意识),  挂在网上,仅开机48小时就中招了。

出0入0汤圆

发表于 2022-10-9 21:51:48 | 显示全部楼层
ddcour 发表于 2022-10-7 20:58
D版软件害的啊,就为了个序列号:(
(引用自15楼)

确定是算号软件内置病毒

出0入0汤圆

发表于 2022-10-9 21:52:34 | 显示全部楼层
widesoft2 发表于 2022-10-9 21:36
WIN 勒索病毒,无处不在,今天凌晨中招了(数据有提前完整的备份,无损失,需要浪费时间重新装机了)。  ...
(引用自27楼)

之前是固定公网IP?

出0入10汤圆

发表于 2022-10-9 21:55:01 | 显示全部楼层
Franso 发表于 2022-10-9 21:52
之前是固定公网IP?
(引用自29楼)

   默认都是私网IP,电信申请改成动态公网IP是免费的,一般半个月会变一次。

出0入189汤圆

发表于 2022-10-10 23:20:58 | 显示全部楼层
widesoft2 发表于 2022-10-9 21:55
默认都是私网IP,电信申请改成动态公网IP是免费的,一般半个月会变一次。 ...
(引用自30楼)

你这也太快了吧,我的IPV6 DDNS大半年了屁事没有
回帖提示: 反政府言论将被立即封锁ID 在按“提交”前,请自问一下:我这样表达会给举报吗,会给自己惹麻烦吗? 另外:尽量不要使用Mark、顶等没有意义的回复。不得大量使用大字体和彩色字。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|Archiver|amobbs.com 阿莫电子论坛 -- 东莞阿莫电子网站 ( 粤ICP备2022115958号, 版权所有:东莞阿莫电子贸易商行 创办于2004年 (公安交互式论坛备案:44190002001997 ) )

GMT+8, 2023-1-27 22:09

© Since 2004 www.amobbs.com, 原www.ourdev.cn, 原www.ouravr.com

快速回复 返回顶部 返回列表