请教：中了勒索病毒（.adww）要怎么支付赎金？

ddcour

要比特币支付吗？不会操作啊?

powermeter

好像坛里发过一个网站，先看能不能解密。

tim

先试试这个
https://www.amobbs.com/thread-5769267-1-1.html

ddcour

多谢楼上两位，刚才发现病毒，重置了系统，现在IE浏览器打不开了：（

armok.

ddcour 发表于 2022-10-7 16:58
多谢楼上两位，刚才发现病毒，重置了系统，现在IE浏览器打不开了：（
(引用自4楼)

数据有被破坏吗？如果数据安全，马上格式化重新安装干净系统。

ddcour

armok. 发表于 2022-10-7 17:04
数据有被破坏吗？如果数据安全，马上格式化重新安装干净系统。
(引用自5楼)

刚才看了一下，.c.h文件竟然没有被加密，其他的基本都被加密了，现在重新格式化安装系统，刚才的重置系统还是有些问题

armok.

ddcour 发表于 2022-10-7 17:42
刚才看了一下，.c.h文件竟然没有被加密，其他的基本都被加密了，现在重新格式化安装系统，刚才的重置系统 ...
(引用自6楼)

源文件没有被破坏，那就没有损失啊！

赶紧将所有电脑断网，所有电脑硬盘全部格式化，U盘也要格式化....

是收电邮或不小心点了下载什么东西？

ddcour

armok. 发表于 2022-10-7 18:05
源文件没有被破坏，那就没有损失啊！

赶紧将所有电脑断网，所有电脑硬盘全部格式化，U盘也要格式化....

(引用自7楼)

其他文件被锁也损失大了，其它电脑今天没开机，现在没有被加密的文件拷贝出来，是否也有风险？

是下载文件中招了

armok.

ddcour 发表于 2022-10-7 18:25
其他文件被锁也损失大了，其它电脑今天没开机，现在没有被加密的文件拷贝出来，是否也有风险？

是下载文 ...
(引用自8楼)

这个我没有经验，无法告诉你是否有风险。

去上面的网站找一下有没有杀毒方法提供？

初音之恋

这病毒即使交了钱也不会给你解密，如果是病毒多次加密就很烦（钱白花，网上有案例交了比特币没用），卡巴斯基跑一遍吧，注意不要传染到其他设备上，真解不开只能认栽。

ddcour

armok. 发表于 2022-10-7 19:01
这个我没有经验，无法告诉你是否有风险。

去上面的网站找一下有没有杀毒方法提供？ ...
(引用自9楼)

是的，谢谢老大
现在是先用一个新U盘， 把文件全搞下来先， 作为备用吧

ddcour

armok. 发表于 2022-10-7 19:01
这个我没有经验，无法告诉你是否有风险。

去上面的网站找一下有没有杀毒方法提供？ ...
(引用自9楼)

是的，谢谢老大
现在想先用一个新U盘， 把文件全搞下来先， 作为备用吧， 先用之前备份的文件恢复过来

天下乌鸦一般黑

了解下，哥们你咋中招的？

kitten

ddcour 发表于 2022-10-7 18:25
其他文件被锁也损失大了，其它电脑今天没开机，现在没有被加密的文件拷贝出来，是否也有风险？

是下载文 ...
(引用自8楼)

拷贝文件没有风险的，放心干吧

ddcour

天下乌鸦一般黑 发表于 2022-10-7 19:55
了解下，哥们你咋中招的？
(引用自13楼)

D版软件害的啊，就为了个序列号:(

lb0857

截个图看看  和网络流传的一样吗

t3486784401

查了查，adww 使用的是 AES-256，因而除非知道秘钥，否则不好解密。

不过在删除源文件的过程中，adww 只用了简单的删除（无覆盖），因而如果是 HDD 的话，可以考虑用 WinHex 一类软件尝试恢复。

参考这里：https://zh.howtofix.guide/adww-virus-file-2/

1a2b3c

ddcour 发表于 2022-10-7 20:58
D版软件害的啊，就为了个序列号:(
(引用自15楼)

是不是到处搜序列号什么的，然后就看到个可以生成序列号一类的小程序,弄下来（说不定还附带下了更多的程序，就像一些人安装软件一路next，看到不看一眼那种，然后各种软件装全：）运行后就中招了？

话说我电脑安装系统后已经快15年了，还从来没有重装过系统，天天连着网，从来没有中过毒，也是万幸。。。

t3486784401

win10 以后自带的勒索软件防护就很好用，建议大家默认开启。
原理就是阻止 exe 向关键文件夹（可自定义）写入文件/修改文件，非微软的 exe 实行白名单制。

实测我 C 语言开个 fopen 向被监视文件夹创建个文件，直接就被阻拦然后系统弹窗.
fopen 返回 NULL，后续操作也就不存在了：

xstt

网上的工具无解的话，基本就无解了，给钱基本就是给钱而已，解决不了问题的。之前的公司中过一次。数据库文件中了，还有当时文件大，用恢复重建数据救回来。小文件无解

AWEN2000

ddcour 发表于 2022-10-7 19:34
是的，谢谢老大
现在是先用一个新U盘， 把文件全搞下来先， 作为备用吧
(引用自11楼)

还敢开机阿？？一旦开机病毒继续加密，被锁的文件就多了
把硬盘拆下来，装在硬盘盒里用其他电脑把数据备份下。

amwjz

不用中毒的硬盘开机，拆硬盘下来，挂别的正常机器中开，病毒不会再发作了吧，再拷还有用的文件出来

爱晴海玩偶

去火绒官网看看

ddcour

t3486784401 发表于 2022-10-7 21:54
查了查，adww 使用的是 AES-256，因而除非知道秘钥，否则不好解密。

不过在删除源文件的过程中，adww 只用 ...
(引用自17楼)

大师，貌似没有删除？直接用算法加密了文件， 我理解对吗？

t3486784401

ddcour 发表于 2022-10-9 18:40
大师，貌似没有删除？直接用算法加密了文件， 我理解对吗？
(引用自24楼)

原来为明文文件 a，存储于硬盘 AAAAA 物理位置；
加密后变为密文文件 b，另存于硬盘 BBBBB 物理位置（与 AAAAA 不重叠），
之后标记删除了 AAAAA 位置的内容：仅标记删除，不覆盖 AAAAA 内容

如果是 HDD 磁盘，大概率可以分析出 AAAAA 位置，然后拷贝出 a 文件即可。
如果是 SSD 磁盘，基本上标记删除就后台销毁了，很难再找回 AAAAA 位置。

------------------------------------------------

不过看你描述，硬盘格式化了，基本上大概率会擦除到 AAAAA 位置，也就彻底断了恢复的可能

ddcour

t3486784401 发表于 2022-10-9 18:43
原来为明文文件 a，存储于硬盘 AAAAA 物理位置；
加密后变为密文文件 b，另存于硬盘 BBBBB 物理位置（与  ...
(引用自25楼)

多谢大师！
系统用的是SSD磁盘，已经格式了，
资料在HDD磁盘上， 还没有格式化， 现在找下恢复软件尝试一下， 十分感谢！

widesoft2

    WIN 勒索病毒,无处不在，今天凌晨中招了（数据有提前完整的备份，无损失，需要浪费时间重新装机了）。      过程：打电话给电信，申请更改成动态公网IP。国庆期间，折腾了一台淘汰的笔记本电脑，装了SVN，作为个人的文件服务器。为了远程方便，路由器上做 3389端口的NAT转换，  admin，没有设密码(缺乏安全意识）,  挂在网上，仅开机48小时就中招了。

Franso

ddcour 发表于 2022-10-7 20:58
D版软件害的啊，就为了个序列号:(
(引用自15楼)

确定是算号软件内置病毒

Franso

widesoft2 发表于 2022-10-9 21:36
WIN 勒索病毒,无处不在，今天凌晨中招了（数据有提前完整的备份，无损失，需要浪费时间重新装机了）。  ...
(引用自27楼)

之前是固定公网IP？

widesoft2

Franso 发表于 2022-10-9 21:52
之前是固定公网IP？
(引用自29楼)

   默认都是私网IP，电信申请改成动态公网IP是免费的，一般半个月会变一次。

kitten

widesoft2 发表于 2022-10-9 21:55
默认都是私网IP，电信申请改成动态公网IP是免费的，一般半个月会变一次。 ...
(引用自30楼)

你这也太快了吧，我的IPV6 DDNS大半年了屁事没有