先说句难听的:中了勒索病毒,数据基本等于没了。
但也不是完全没救,今天说说能尝试的方法,以及最重要的——怎么预防。
第一步:断网!断网!断网!
发现中了勒索病毒,第一件事:马上断网。
- 拔网线
- 关 WiFi
- 如果是在公司,通知 IT 部门把整个网络隔离
为啥?因为勒索病毒会通过网络传播,你电脑中了,可能整个公司的电脑都得遭殃。
第二步:确认病毒类型
不同的勒索病毒,解密的可能性不一样。
看看加密后的文件后缀是啥,比如:
.locky.cryptolocker.wannacry.phoenix
记住这个后缀,后面要用。
第三步:看看有没有解密工具
有些老版本的勒索病毒,安全公司已经破解了,有免费的解密工具。
去这几个地方试试:
-
No More Ransom(https://www.nomoreransom.org/)
- 欧盟刑警和国际安全公司搞的
- 上传一个加密文件,它能识别病毒类型
- 如果有解密工具,会给你下载链接
-
卡巴斯基解密工具(https://noransom.kaspersky.com/)
- 卡巴斯基出的
- 支持几十种勒索病毒
-
火绒勒索病毒解密工具
- 火绒官网能下到
- 支持一些国内常见的勒索病毒
注意:这些工具只对特定版本有效,新的勒索病毒基本解不了。
第四步:试试数据恢复软件
有些勒索病毒加密文件的方式是:复制一份加密,然后删掉原文件。
这样的话,原文件可能还能恢复。
试试这几个软件:
- Recuva(免费)
- Disk Drill(付费,有试用版)
- EaseUS Data Recovery(付费)
操作都差不多:
- 扫描被加密的磁盘
- 看看能不能找到被删除的原文件
- 恢复到另一个盘(别恢复到原盘,会覆盖)
成功率不高,但试试又不花钱。
第五步:看看有没有备份
这步应该是最早做的,但很多人中了病毒才想起来。
检查一下:
- Windows 文件历史记录
- OneDrive/百度网盘/腾讯微云等云盘
- 移动硬盘备份
- 公司服务器的备份
如果有备份,恭喜你,直接恢复就行。
第六步:系统还原点
Windows 有个系统还原功能,有时候能救急。
- 按
Win+R,输入rstrui.exe,回车 - 看看有没有中病毒之前的还原点
- 有的话,还原试试
不过这个方法对文件恢复帮助不大,主要是还原系统设置。
第七步:找专业数据恢复公司
如果数据真的特别重要(比如公司核心资料、多年照片),可以找专业的数据恢复公司。
价格不便宜,几千到几万不等,但有些情况下确实能恢复。
国内比较有名的:
- 效率源
- 盘首数据恢复
- 各城市的本地数据恢复公司
注意:这行骗子也多,找之前多查查口碑。
关于付赎金
黑客一般会要比特币赎金,从几千到几万美金不等。
我的建议:别付。
原因:
- 付了也不一定给你解密(黑客又不讲信用)
- 付了你就成了「愿意付钱的目标」,下次还盯着你
- 助长了犯罪气焰
当然,如果数据真的价值连城,那是你自己的选择。
最坏的情况
如果上面所有方法都试过了,数据还是拿不回来……
那只能格式化硬盘,重装系统了。
预防永远比治疗重要
说了这么多恢复方法,其实成功率都不高。真正靠谱的,是预防。
1. 定期备份(最重要)
- 重要文件至少备份两份
- 一份本地(移动硬盘)
- 一份云端(网盘)
- 备份硬盘平时别插电脑上,用的时候再插(防止备份盘也被加密)
2. 别乱点邮件附件
特别是这种:
- 「发票」
- 「订单确认」
- 「工资单」
- 「法院通知」
- 任何让你「立即查看」的
真有事,打电话确认一下。
3. 系统及时更新
Windows 更新虽然烦人,但有些确实是安全补丁。
像 WannaCry 那种勒索病毒,就是利用系统漏洞传播的。打了补丁就没事。
4. 装杀毒软件
火绒、Windows Defender 都行,至少能拦一部分。
5. 别用盗版软件
破解补丁是勒索病毒的重灾区。
常见问题
Q:加密的文件能不能强行解密?
A:理论上可以暴力破解,但实际上……以现在的算力,几百年都解不开。
Q:杀毒软件能防勒索病毒吗?
A:能防一部分,但不是 100%。新的勒索病毒出来,杀毒软件也得时间更新病毒库。
Q:手机会中勒索病毒吗?
A:会,但比较少。Android 有一些,iPhone 基本没有。
Q:公司中了勒索病毒怎么办?
A:马上断网,通知 IT 部门,报警。别自己瞎折腾。
总结
中了勒索病毒,恢复数据的方法有限,成功率也不高。
真正靠谱的,是预防:
- 定期备份(这个最重要)
- 别乱点邮件附件
- 系统及时更新
- 装杀毒软件
- 别用盗版软件
做到这些,基本就安全了。