全球爆发大规模的勒索病毒入侵事件, 高校成为重灾区, 桂林某高校的大三学生刘为(化名)是此次事件的受害者, 他告诉北京时间“此刻”(微信号:btimenow), 当得知电脑文件恢复不了的时候, “整个人都要崩溃了”。
目前, 在淘宝、QQ群中均已出现与“恢复勒索文件”相关的服务。 不过, 未有淘宝卖家对北京时间“此刻”表示一定恢复文件, 在QQ群中网友20元所兜售的恢复方法, 实为已公开的免费工具。
360安全卫士反病毒小组工程师王亮表示, 已根据此次木马特点, 推出了勒索病毒文件恢复工具, “有一定几率可以恢复部分被加密的文件”。
“不敢相信一切都没有了”
刘为是桂林某高校大三的学生, 他的电脑被“永恒之蓝”入侵, 至今尚未恢复资料。
5月12日, 下午六点半左右, 刘为下课回到宿舍正常将电脑开机, 准备查询论文的相关资料, 但他打开浏览器两分钟左右, “我看见我桌面的资料显示空白, 接下来电脑马上蓝屏, 出现一片乱码, 我下意识的认为电脑是不是坏了, 马上强制关机, 重启电脑”。
可刘为的紧急操作并未奏效, 重启后, 桌面上开始出现很多不明软件与对话框, 即为“永恒之蓝”中毒的对话框。 刘为称, 他在怀疑电脑是否中病毒, 随后开始粉碎不明的文件及杀毒, “发现粉碎一个文件, 它会自带两个文件出现, 从而桌面全部都是乱码文件”。
刘为查看他个人的文件后发现, 文件的名称中多了病毒的后缀名, 如“毕业论文.doc. WNCRY”。
他告诉北京时间“此刻”(微信号:btimenow), 电脑中有自己重要的文件资料, “我们有很多课程都要求写论文, 近日有很多论文需要提交”, 现在的刘为, 只能凭借自己的记忆, 连夜写作业。
刘为并不是学校中唯一的中招者, 随后, 校方发布通知提醒学生注意上网安全, “不打开不明网站, 今明两天最好不要在其他网站下载任何资料, 并对重要资料进行备份”。
为了尽快的解决电脑的问题, 刘为将电脑送到维修店中, 当维修人员告知他里面所有文件都有可能找不回来的那一刻, “整个人都要崩溃了”, 到现在, 他都没有回过神。
20元解密、恢复资料?
除送到电脑维修店外, 有网友指出, 在淘宝中有卖家提供“永恒之蓝”解密、文件恢复等服务。
(网友发现淘宝有病毒解密文件服务)
北京时间“此刻”以“勒索病毒 解密”为关键词在淘宝中进行搜索, 共找到61条记录, 共23家店铺, 经筛选后, 与七家店铺进行联系, 仅有两家表示可以提供相关服务, 但并不保证能成功解密, 都需要先“看看”。
卖家朱涛(化名)称, 他曾经帮助客户解决过几次勒索病毒的文件恢复, “但是最新的这个估计很难”。 朱涛称, 永恒之蓝“变种了, 破解病毒需要时间”, 他需要客户先发送2-3个被加密的文件和原始文件, “先发给我看看吧”。
卖家王婷(化名)同样也表示, 需要先看文件的情况才能确定是否能进行恢复, 至于服务的价格, 也难以确定。
相比较二人, 卖家陈淳(化名)更为直接, 他告诉北京时间“此刻”(微信号:btimenow)“没办法, 找黑客要几万块”。
除淘宝之外, 北京时间“此刻”也找到相关的QQ群, 在群中, 网友不仅对勒索病毒进行讨论, 同样也有人在提供解密、恢复文件的服务。
昵称为“蓝缘”的群主在QQ群“勒索病毒”中发布“勒索病毒专杀”的软件安装包, 并表示, 可以进行文件恢复的服务。 如果有人需要解密、恢复文件的方法, 需要给“蓝缘”发送20元红包。
北京时间“此刻”发送红包后, “蓝缘”确实给出一套相应的解决办法。 交易完成后, 他拉黑好友, 随即消失。
(“蓝缘”兜售360公开解决方案)
不过, 这个办法并不是什么秘笈, 而是360安全卫士已经公开的解决方案。
360安全卫士已公布文件恢复工具
5月14日2时许, 360安全卫士官方微博发布“勒索蠕虫病毒文件恢复工具”, 360安全卫士反病毒小组工程师王亮表示, 此工具“依据这次传播的勒索木马、文件操作的特性, 来恢复被加密的文件”, 他告诉北京时间“此刻”, 文件恢复工具“有一定几率可以恢复部分被加密的文件”, 这和被加密文件的大小、格式、磁盘使用情况等都有关系, 但总体来说, “越早使用, 成功率越高”。
对于“勒索病毒2.0”的说法, 王亮认为, 并不十分准确。 “目前传播的都还是同一个版本, 只是文件略有差别, 攻击手法都是一样的”。
王亮表示, 相关的文件恢复工具, 均可以在360官方网站免费下载, 所谓的“勒索病毒2.0”亦可以使用。
360免费恢复工具下载地址:
http://dl.360safe.com/recovery/RansomRecovery.exe
