近日，勒索病毒席卷全球PC，這種病毒通過威脅用戶數(shù)據(jù)安全而勒索“比特幣”，引發(fā)眾多電腦用戶恐慌。現(xiàn)在問題來了，中了勒索病毒能恢復(fù)嗎？下面腳本之家的小編就來簡單說一下電腦中了勒索病毒解決方法。

Q：中了勒索病毒能恢復(fù)嗎？

A：勒索病毒是此前活躍的勒索軟件Wallet的一類變種，運(yùn)用了高強(qiáng)度的加密算法難以破解，被攻擊者除了支付高額贖金外，往往沒有其他辦法解密文件，只有支付高額贖金才能解密恢復(fù)文件。

雖然病毒爆發(fā)初期，文件恢復(fù)方面沒有辦法，但目前各大安全廠商都紛紛推出了查殺恢復(fù)工具，包括360安全衛(wèi)士、金山衛(wèi)士、QQ電腦管家等，目前這些安全軟件都可以為中勒索病毒能電腦恢復(fù)文件，因此中了勒索病毒能恢復(fù)的，千萬不要去交贖金恢復(fù)數(shù)據(jù)。

Q：電腦中了勒索病毒解決方法？

一旦電腦中了病毒，大家可以首先想到要去下載殺毒軟件進(jìn)行查殺，目前微軟自帶的殺毒軟件、360殺毒、金山殺毒、電腦管家殺毒等工具都可以清理病毒并恢復(fù)數(shù)據(jù)，因此首先去下載殺毒軟件去清理病毒。

金山數(shù)據(jù)恢復(fù)專業(yè)版 v2.0 免費(fèi)綠色版

• 類型：數(shù)據(jù)恢復(fù)
• 大?。?/span>2.27MB
• 語言：簡體中文
• 時(shí)間：2015-07-27

查看詳情

圖為金山毒霸正恢復(fù)中了勒索病毒的電腦文件

如果遇到一些安全軟件無法安裝，建議在電腦安全模式下安裝。

另外，如果電腦中沒有重要數(shù)據(jù)，也可以通過重裝系統(tǒng)的方式解決。尤其是XP用戶，建議重裝最新的Win10安全系統(tǒng)，以提升電腦安全。

對于還沒中勒索病毒的電腦，建議及時(shí)更新安全補(bǔ)丁，關(guān)閉電腦445端口，及時(shí)備份重要數(shù)據(jù)等。

如果不幸中招，我們?nèi)绾螄L試恢復(fù)被惡意加密的資料文件，下面帶來電腦中了勒索病毒的恢復(fù)解決方法。

在測試病毒的時(shí)候，小編就發(fā)覺一個(gè)奇怪的現(xiàn)象，在WannaCry未完成加密時(shí)，被加密文件目錄下出現(xiàn)了原文件與被加密后的文件共存現(xiàn)象，待WannaCry病毒加密完畢后，資料原文件就不見了，應(yīng)該是給刪除了。

圖2 原文件與加密后文件并存的短暫時(shí)間

WannaCry敲詐者病毒加密后的文件能恢復(fù)么？實(shí)測一下

如果原文件只是給簡單做了刪除操作，那么我們就有了恢復(fù)原文件的希望。但如果病毒在刪除文件時(shí)，做了“清除”文件操作，也就是在刪除文件后用隨機(jī)數(shù)據(jù)填充被刪除文件所在存儲地址，那就沒多少希望進(jìn)行數(shù)據(jù)恢復(fù)了。

不管如何，咱來實(shí)測一下。

首先，在測試機(jī)的D盤上放上測試目錄“手機(jī)qq7.0”，里邊包含了圖片類型文件與文本文件與office文檔，共計(jì)文件30個(gè)。

圖3 測試文件夾內(nèi)容

接著小編在測試機(jī)上運(yùn)行WannaCry病毒（請勿模仿，資料數(shù)據(jù)文件灰飛煙滅可不是鬧著玩的），過了一會，測試文件夾的資料文件就給惡意加密了。

圖4 測試文件夾里的資料全部被惡意加密

接著，小編安裝了一款數(shù)據(jù)恢復(fù)軟件，嘗試對被刪除的原文件進(jìn)行恢復(fù)操作。

圖5 啟動(dòng)數(shù)據(jù)恢復(fù)軟件

測試結(jié)果讓小編吃驚，竟然成功的找到了被病毒刪除的原文件，趕緊的嘗試恢復(fù)操作。

圖6 成功找到被病毒刪除的原文件

圖7 嘗試進(jìn)行被刪除文件的恢復(fù)操作

結(jié)果就是，小編成功地恢復(fù)了被病毒刪除的原文件。

圖8 成功恢復(fù)原文件

測試到此，可以慶幸的是，WannaCry病毒并沒有對原文件進(jìn)行清除操作。不過有研究人員說WannaCry病毒會對資料原文件進(jìn)行清除操作，難道需要更多的等候時(shí)間病毒才能完成清除操作？難道是新變種？需要注意的是，這個(gè)方法并不是解密被病毒加密的文件，被病毒加密的文件采用了高強(qiáng)度加密方式，沒有病毒作者手里的密鑰，破解幾率渺茫。

（更新，有研究表明，該病毒對小于1.5M的文件才進(jìn)行了全部加密，對于大于1.5M的文件采用的是非高強(qiáng)度加密方式，可能是病毒作者為了加快加密速度所設(shè)置的，本文也將介紹一下大于1.5M的文件的恢復(fù)方法，你也可以嘗試一下，具體方法請往下看）。死馬當(dāng)活馬醫(yī) 數(shù)據(jù)恢復(fù)的注意事項(xiàng)

不管怎樣，中招者可以嘗試恢復(fù)一下文件，死馬當(dāng)活馬醫(yī)還是可以的。需要注意的是，數(shù)據(jù)恢復(fù)在支持TRIM的SSD硬盤上恢復(fù)數(shù)據(jù)的機(jī)會幾乎為零。當(dāng)你嘗試自行恢復(fù)被誤刪除文件前，請仔細(xì)閱讀下邊的注意事項(xiàng)，切記！

　　普通用戶想要自行恢復(fù)文件，需要有幾個(gè)基本的條件與注意事項(xiàng)：

第一：被恢復(fù)文件所占空間（磁盤分區(qū)）不能寫入新文件。因?yàn)樾挛募褂玫拇疟P空間可能正是你想要恢復(fù)文件所占的空間，舊文件被新文件所替換，將使得恢復(fù)操作變得困難。

所以，你發(fā)現(xiàn)文件丟失，第一時(shí)間應(yīng)該停止一切操作。如果被丟失的文件位于系統(tǒng)盤，更是需要進(jìn)行立刻的斷電操作。在本文，建議一發(fā)現(xiàn)病毒感染，立刻關(guān)閉計(jì)算機(jī)，然后，將硬盤掛接到其它電腦中，以從盤形式加載，從中避免新文件的寫入。

需要注意的是，瀏覽網(wǎng)頁、下載及安裝數(shù)據(jù)恢復(fù)軟件也是一系列的文件寫入操作，所以最好的操作就是以從盤形式加載，避免這些文件操作影響到文件的恢復(fù)成功機(jī)率。安裝數(shù)據(jù)恢復(fù)軟件時(shí)，一定不要安裝到需恢復(fù)數(shù)據(jù)文件所在磁盤分區(qū)。

如果沒有第二臺電腦，那么就只能在本機(jī)中進(jìn)行數(shù)據(jù)恢復(fù)操作了，你可以用U盤PE系統(tǒng)來引導(dǎo)電腦啟動(dòng)然后再在PE系統(tǒng)中進(jìn)行文件恢復(fù)操作。

總之要記住的是，不要往被恢復(fù)文件所在分區(qū)寫入任何數(shù)據(jù)，比如保存文件、修改文件等的操作都是需要禁止的，安裝恢復(fù)軟件也記得安裝到其它分區(qū)啊。

那個(gè)啥，如果你要恢復(fù)的資料涉及上百萬，或者是有紀(jì)念意義的老照片等等的寶貴資料，那么建議你立刻停止嘗試自行恢復(fù)，把硬盤拆下來，交給專業(yè)人士去進(jìn)行數(shù)據(jù)恢復(fù)操作，就別瞎折騰了，以免增加恢復(fù)難度。你也別交給樓下的電腦店啊，說不準(zhǔn)他用的就是小編所用的軟件，有的還會胡搞瞎搞。

數(shù)據(jù)恢復(fù)簡單指南 有了它們你也可以恢復(fù)被誤刪除的文件

然后就是選擇啥恢復(fù)軟件的問題，現(xiàn)在的數(shù)據(jù)恢復(fù)軟件大多都大同小異，相同的是，大多數(shù)都不是免費(fèi)的。較為知名的有Finaldata、EasyRecovery、O&O DiskRecovery 、RecoverMyFiles、DiskGenius、易數(shù)數(shù)據(jù)恢復(fù)精靈等，還有金山毒霸里邊的金山數(shù)據(jù)恢復(fù)，不過大多都不是免費(fèi)的，要注意的是不要下載到帶病毒版的了。因?yàn)樾枰謴?fù)的文件一般都比較的寶貴，黑客們也喜歡這些資料哦。目前國產(chǎn)殺毒軟件推出了免費(fèi)恢復(fù)文件工具，你也可以試試。

這里介紹的是EasyRecovery，這個(gè)工具使用比較簡單。

EasyRecovery易恢復(fù)軟件 企業(yè)版 11.1.0.0 中免費(fèi)文安裝版

• 類型：數(shù)據(jù)恢復(fù)
• 大?。?/span>6.33MB
• 語言：簡體中文
• 時(shí)間：2015-03-19

查看詳情

EasyRecovery的安裝簡單，下一步策略就可安全完畢，記得不要把它安裝在待恢復(fù)文件所在分區(qū)。

圖9 記得修改安裝路徑

EasyRecovery的使用簡單，軟件使用向?qū)Ｊ剑旧峡粗驅(qū)崾揪涂梢酝瓿晌募謴?fù)操作，比較的輕松愉快。在媒體類型選項(xiàng)中我們看到EasyRecovery支持對硬盤及移動(dòng)存儲器如U盤、SD卡等的設(shè)備進(jìn)行數(shù)據(jù)恢復(fù)操作。

此例中我們恢復(fù)的是硬盤數(shù)據(jù)，選擇后可以進(jìn)行硬盤分區(qū)的選擇，選擇接著就是恢復(fù)已刪除的文件和文件系統(tǒng)類型，一般勾選FAT+NTFS就可。接下來就是一段時(shí)間搜索過程，然后就會顯示找到的被刪除文件，在列表中找到目標(biāo)，將其另存到其它分區(qū)即可，記住不要保存到待恢復(fù)文件所在分區(qū)。

圖10 恢復(fù)向?qū)?/p>

再來看看一款國產(chǎn)的非常強(qiáng)大的磁盤管理工具DiskGenius，在以前老鳥們經(jīng)常用它來進(jìn)行硬盤分區(qū)、查錯(cuò)等的操作，現(xiàn)在它也有非常強(qiáng)大的數(shù)據(jù)恢復(fù)功能，來看看吧。軟件官網(wǎng)在這里。

磁盤分區(qū)及數(shù)據(jù)恢復(fù)軟件DiskGenius(diskman) v6.0 中文單文件綠色版 32位

• 類型：數(shù)據(jù)恢復(fù)
• 大小：6.83MB
• 語言：簡體中文
• 時(shí)間：2025-04-18

查看詳情

DiskGenius無需安裝，下載回來直接解壓就可使用。操作也相對簡單，比較遺憾的是沒有向?qū)??；謴?fù)文件的操作也比較簡單，只需要在DiskGenius磁盤列表的待恢復(fù)文件所在分區(qū)使用右鍵菜單，即可看到“已刪除或格式化后的文件恢復(fù)”選項(xiàng)，選擇后進(jìn)入恢復(fù)選項(xiàng)，可以選擇需要恢復(fù)的文件類型。

開始后就是一段時(shí)間的掃描，然后就是顯示檢測到的刪除文件列表，接著就是恢復(fù)文件的操作了。

圖11 DiskGenius恢復(fù)向?qū)?/p>

DiskGenius還有一個(gè)非常好用的功能，那就是可以恢復(fù)丟失的分區(qū)表，這個(gè)功能可以干嘛呢？就是當(dāng)你的硬盤莫名奇妙的從多個(gè)分區(qū)變成了一個(gè)分區(qū)，或者干脆一個(gè)分區(qū)都沒有了的時(shí)候使用。筆者就遇到過多次這種現(xiàn)象，搞不清是什么造成的分區(qū)表丟失的，可是用戶卻急了，這可不是丟失一兩個(gè)文件，而是硬盤里的文件全部不見了。

小知識：硬盤分區(qū)表可以說是支持硬盤正常工作的骨架。操作系統(tǒng)正是通過它把硬盤劃分為若干個(gè)分區(qū)，然后再在每個(gè)分區(qū)里面創(chuàng)建文件系統(tǒng)，寫入數(shù)據(jù)文件。簡單的來說，它記錄了你的硬盤C、D、E等各個(gè)分區(qū)具體是如何劃分區(qū)域的。

接著筆者熟練的用U盤PE系統(tǒng)引導(dǎo)電腦啟動(dòng)，然后運(yùn)行DiskGenius，找到菜單欄--工具--搜索已丟失的分區(qū)，接著它就會一個(gè)一個(gè)分區(qū)的進(jìn)行查找，你需要看看找到的分區(qū)大小是否相符。確認(rèn)后進(jìn)行保存操作。數(shù)據(jù)無價(jià)，沒有把握的話還是請教一下身邊的高手吧。

圖12 DiskGenius分區(qū)表恢復(fù)

此外，使用DiskGenius先備份一下磁盤分區(qū)表以備不時(shí)之需會是個(gè)不錯(cuò)的主意。要備份到別的設(shè)備中去哦。

圖13 DiskGenius分區(qū)表備份

大于1.5M的被加密文件有被解密希望？是真的么？

小編剛剛說了，如果文件真的被高強(qiáng)度加密方式加密了，那沒有密鑰解密的幾率就幾乎為零了。不過，據(jù)國內(nèi)效率源科技經(jīng)研究發(fā)現(xiàn)，“永恒之藍(lán)”勒索病毒的加密方式主要有兩種。

　　1、WannaCry敲詐者對大于1.5MB文件的加密方式

對于大于0x180000字節(jié)(1.5MB)的文件，是按照正常文件總大小整除3，得到每個(gè)間隔塊大小M，將文件分為M、2M大小的兩個(gè)間隔塊，每個(gè)間隔塊的前512扇區(qū)被填0，被加密的512扇區(qū)都會被填0，并將加密的多個(gè)512扇區(qū)寫入到文件尾部。針對特殊格式的文檔，如docx文檔，可進(jìn)行碎片恢復(fù)。目前，效率源科技技術(shù)工程師已成功開發(fā)出免費(fèi)工具——“永恒之藍(lán)”比特幣勒索Office數(shù)據(jù)恢復(fù)工具V1.0。打開軟件，導(dǎo)入被加密文件，選擇存儲路徑(建議保存在干凈的移動(dòng)硬盤或U盤上)，點(diǎn)擊數(shù)據(jù)分析，即可進(jìn)行數(shù)據(jù)恢復(fù)。

效率源永恒之藍(lán)比特幣勒索Office數(shù)據(jù)恢復(fù)工具 v1.1 最新綠色版

• 類型：數(shù)據(jù)恢復(fù)
• 大?。?/span>2.46MB
• 語言：簡體中文
• 時(shí)間：2017-05-17

查看詳情

也就是說，可能基于加密速度考慮，病毒作者并沒有對大文件也進(jìn)行高強(qiáng)度加密方式加密文件，這也給文件解密帶來了希望。小編也嘗試了該工具，不過不知為何不能成功恢復(fù)文件，表現(xiàn)為點(diǎn)擊了“數(shù)據(jù)分析”后，保存路徑中沒有文件。不管如何，文件被病毒惡意加密的同學(xué)可以嘗試使用該工具嘗試解密一下。如果真的未經(jīng)過高強(qiáng)度加密，那還有解密的希望，就是尚不知道病毒是否是真的如此操作。

此外，360安全衛(wèi)士與金山毒霸也有對應(yīng)的文件恢復(fù)工具推出，同樣可以嘗試一下。

圖14 測試文件

圖15 測試文件已被病毒惡意加密

圖16 不知為何沒有反映

2、WannaCry敲詐者對大于小于0x180000字節(jié)（1.5MB）文件的加密方式：

對于小于0x180000字節(jié)的文件，其全部內(nèi)容都進(jìn)行了加密，但是在加密小文件時(shí)，會先加密，再刪除原文件。也就是說，可以嘗試以上邊小編所說的方式進(jìn)行刪除文件恢復(fù)操作，而解密被加密的文件就沒戲。

總結(jié)

萬一成功恢復(fù)了被病毒惡意刪除的原文件，趕緊的進(jìn)行異地備份。你也別大意，依據(jù)目前病毒的發(fā)展速度，相信很快就有變種出來，克服之前病毒的缺陷，使得它更難防范，數(shù)據(jù)文件清除操作也會加入其中，所以安全為上，裝個(gè)靠譜的殺毒軟件，定期的異地備份，硬盤有價(jià)數(shù)據(jù)無價(jià)??！此外，其它的敲詐者病毒有沒有這個(gè)漏洞尚待發(fā)掘，但小編測試過的幾個(gè)敲詐者病毒都是直接高強(qiáng)度加密文件的。

最新評論