[转帖]小心~“资料世家”利用软件把你电脑中所有文件加密,并进行勒索!(附解决方法)

最近发现普通用户电脑被入侵,资料被隐藏、加密的事情多了起来,电视也做了报道,所以特发此贴,由于涉及到你本人资料的安全,强烈建议大家耐心看完!!!最下面有解决办法。

昨天遭遇一次“利用病毒”敲诈的事情,现把经过全程记录如下,希望能给大家一点帮助。
2006年6月11日下午,因我要查一个“短信平台项目方案”下载了一个rar文件,解压缩后发现是一个名字是”点击这里打开.exe“的文件,因我有杀毒软件,以前也多次遭遇病毒,因为我确实需要这个方案,所以我就点击了这个软件。软件运行之后,我的杀毒软件、qq、popo、msn就立即被关掉了,我第一个反应就是,这个软件果真是病毒,只是奇怪我的杀毒软件怎么不管用,并没有太大担心。心想中毒俺又不是一次两次了,怕啥哦,大不了重装系统。可奇怪的事情出现了,我保存在电脑上的资料不见了,象是被删除了一样,文件类型包括word文档、excel文件、部分可执行文件等等,这下糟了,我多年的电脑文档和心血全没有了,为了让杀毒软件运行,试着重新启动电脑看看,启动好以后跳出一个“拯救硬盘.txt”的文件,显示的内容大致如下:
“1. 你的硬盘损坏了,是因为手机的强电磁流影响了硬盘的正常读写
2. 你必须使用磁盘修复工具来拯救丢失的资料文件
3. 但是,你正在使用的不是正版软件,是法律所不容许的盗版
4. 你必须拯救修复丢失的资料,并且尽快购买正版的软件,
5. 点击左下角 [ 开始 ], 点击 [ 所有程序 ], 点击 [ 附件 ], 点击 [ 修复硬盘资料 ]
6. 为了确保你能尽快修复全部资料,请在两小时内不要读写硬盘
7. 可以修复的资料包括:
……”
果真,我在开始菜单中的附件中看到“修复硬盘资料”这个连接,我运行之后,就跳出以下这个画面:
图片点击可在新窗口打开查看

我的第一反应就是遇到敲诈了,接着就想报警。因为我的资料非常重要,基本上是我工作的全部啊,所以从大约4点钟开始在网上搜索解决办法。先通过百度用“拯救硬盘”搜索,果真在网上找到跟我遭受同样遭遇的不少啊,而且从留言回复来看,最好解决办法就是给他汇款。,我最讨厌这种人,说什么也不能给他汇啊,因此,我抱着尝试心理,按这个图片上的手机号码发了一条短信,这个家伙回复了,说信息已经收到,只要汇款就可以解决问题。然后我说我没有工商卡号,他就又发了一个建行的卡号给我。我要求支付宝付款,但是他不同意,只接受工行和建行,看来没辙了,只能自力更生了。
于是,我问了我的同事,同事 说可能是doc.exe病毒,我就按照这个博客的解决办法,尝试了一下,不行。这时已经过去1个多小时,按照这个病毒的说法,岂不是我的文件不给他汇款就找不回来啦。我这个急啊、恨啊、就差立马给他汇款了。
这时我在这个网址上看到中招的人发的一个图片,如下:
图片点击可在新窗口打开查看

看到这家伙还要付款的金额不一样,心理更加不平衡。决定还是再想想办法,这时真后悔没有好好学习啊,以至于出了问题搞不定啊。
这时,我想到“硬盘恢复软件”,于是在网站上下载了一个号称最灵的恢复软件“easy recovery 6.0”,号称是中文无限制版,谁知,不但是个英文版,而且还是个共享版,只能看到多少个可以恢复的文件,却不能看到是什么文件,气死老夫也。
这时后,已经过去3个小时了,我都快坚持不了了,真想汇钱给他算了,于是给他发了一条短信,问他能便宜点不,哈哈,他的回复是“已经很便宜了”。看来只能继续自己努力了。
这时我在一个网站上下载了一个绿色版的中文界面的恢复软件“recover my files”,这个软件不错,可是用这个软件反复搜索找到的都是我曾经删除了的文件,始终找不到被那个病毒软件删除的软件。心想完了,于是我想起了瑞星公司,决定打个电话咨询一下,因为要等时间太长,放弃;于是给江民公司打电话,电话不通。再说了,现这个社会,即使电话通了也不会管的。算了吧,于是我又开始在网上搜索“拯救硬盘 病毒”,又看到其他几个论坛,也中招的朋友,但是我仍然没有搜索到解决办法,我看到有一个朋友说,即使找出来,也没有用,文件被加密了。这时我好好的回忆了一下我中招的过程:我运行那个病毒后,时间很快我的东西都不见了,而且没有听见硬盘运行的响声,应该文件还在,估计是被隐藏和加密了。于是我开始搜索加密软件,下载了一次,不会用,只能放弃。搜索关键字“恢复xp隐藏的文件”没有获得我需要的。唉,看来这下完了,要么屈服,要么就自认倒霉。在权衡之下,我觉得坚决不能屈服这种垃圾,宁可自己文件损失也不能屈服这个垃圾,给他汇款。于是我准备报警,我在网上搜索了这个手机号码:13560466106来源广州市,我也记录下来了他提供的工商银行卡号和建行卡号,决定报警。
于是我拿起电话,拨通110,然后,我把我的情况告诉了接听电话的小姐,我说我可能碰到利用病毒敲诈的事情了,这个小姐让我去当地派出所报警,我问能不能网上报,她说不可以,要做笔录。挂了电话,我活了30年还没有进警察局做过笔录啊,而且我怎么说啊?我现在损失只是文件,没有经济损失,综合网上各种评论,警察会管吗,万一警察不管,还奚落我一阵岂不是自讨苦吃?可是不把这个垃圾处理掉,岂不会有更多人中招,虽然警察不会管,但我能不能通过网络上发布一下信息,让大家防备一下,同时人多力量大,说不定有解决的办法啊。于是我想到了我经常去的新浪网,我就给新浪网的新闻热线打了电话,告诉了接电话的先生,希望他们网站上能够提醒网友不要上当。不过我从接电话的先生话语中,似乎他根本不想听我说完,只是说会告知科技部的人注意。小乖,连听我说完具体情况的耐心都没有,都不知道具体情况又怎么转告其他人了,纯粹是敷衍我啊。算了,心态平和点,谁要我等是草民,人家这么大的公司会管这些不是新闻热点、不是名人的事情呢。天啦,我的文件啊。
冲动之后,我静下心来,好好想想,平静一下。
我重新整理了一下头绪,综合一下我搜索得到信息可以确定以下要点:第一,这个人是利用病毒进行敲诈,敲诈金额不高,警察不管;第二,数据都还存在,只是被屏蔽或者隐藏或者被加密。可是对于我这个虽然在网络上混了很久,但是这方面却一点经验没有,头痛啊,也非常后悔没有好好学习啊。
这时,我想比较一下两张图片,看能不能弄到那个redplus(修复硬盘资料)的序列号,这时,我发现这个垃圾在我下载的图片上留下了名字“欧阳俊曦”,我眼前一亮,看看能不能找出这个人,然后狂扁他一顿啊。
于是我在baidu上用“欧阳俊曦”这个关键字又搜索了一下,又发现跟这个敲诈有关的五条信息,才知道这个垃圾把文件加密到同个驱动器的隐藏文件夹“控制面版…….”下面,同时我在““杭州志愿者论坛””上看到了这个问题的解决办法,网址http://bbs.hzva.org/viewthread.php?tid=16925

。我一下子兴奋极了,就差蹦起来了。赶紧按照上面的方法,下载了那个加密软件,在那个“控制面版…”目录下看到了我可爱的、完整的文件,我终于找回了我的文件。接下来我做的第一件事就是发个短信骂那个垃圾,第二就是打开网络电视看球赛。哈哈哈哈哈哈……..
终于写完全过程了,但有些东西总觉得让我难受,第一,就是中国的警察同志们,为什么让我觉得报案也这么难受,不是我不想报案,是我觉得太复杂,而且我很担心去报案被他们取笑一顿,这是我不能承受,并且我在网上也看到说因为达不到立案标准,警方不一定会立案。这让我想起我曾经看到的一篇文章,文章题目我忘记了,大意是一位中国的教授在国外(可能是德国,我记不大清楚了)一个大学的图书馆丢失了一个包,里面有20欧元,当时他也觉得损失不大,想就算了不需要报警了。但是出呼意料的是图书馆管理员坚持报警,而且警察也迅速赶到现场为此忙碌起来。这位中国教授说,就这一点损失不需要劳师动众了吧,但是警察不同意,坚持一定要查……。这要在国内是不可以想象的。除非出现以下三种情况不管大小警察一定管,那就是名人、官员、老外。一般的平民百姓除非出现大金额、大后果、群体性事故才会管一管的。这同样让我想起现在的短信诈骗层出不穷,我以前也收到过一条,我打电话给移动公司,移动公司的小姐告诉我,你知道是骗局,你别上当不就行了。唉,这就是他们的工作态度,怎么不会让那些犯罪分子嚣张呢。
第二,新浪公司,其实也不能怪新浪,其他大的网站也会一样,根本不会管这些小事的,连我最起码的请求发个提醒的信息都没兴趣,算什么啊?只会追求新、奇、怪所谓的新闻热点。我本来还想给电视媒体打电话的,希望他们能发布一下提醒信息,最后我放弃了,因为我不想自讨没趣。
算了,回到这个文章的重点,现在简单的说一下解决过程:

解决过程

第一步,打开“文件夹选项”的“查看”,把所有的隐藏项目都去掉,你就会在你的一些驱动器下面发现多了一个“控制面版….”文件夹,你运行它,发现打开的就是控制面版,但是你点击这个文件夹属性你会发现有几百兆,其实你丢失的文件都在里面,只是它修改了这个文件夹的属性和加密了这个文件夹。图片如下:
“红色方框”就是被它隐藏加密改属性了的文件夹。
图片点击可在新窗口打开查看

第二步,利用软件“final data(绿色版).rar”打开那个“控制面版…”文件夹,你会发现你丢失的文件好好的躺在那里呢。

问题就基本解决了,虽然拷贝出来的文件属性是隐藏,而且暂时还不能修改属性,但是只要东西在就好了。虽然这个垃圾软件做的并不完善,特别起来也不是很难的问题,但是这个软件带来的后果和影响却是不可小视啊。首先,性质非常恶劣,因为它隐藏加密的文件都是一般公司很重要;第二,他敲诈的金额不大,如果网管没有找到解决办法,在重要资料和钱的方面一般会屈服这个垃圾;第三,万一这种方式开头不进行严厉打击,若被更变态的人利用,弄个象病毒一样,一般人不能解决的东西出来,那就非常危险,可偏偏这种小的敲诈警察叔叔会管吗?
发布这个文章,说了这么多废话,就是希望能让寻找这个垃圾解决办法的人一点帮助。还是毛主席说的好啊,“自力更生,艰苦奋斗”吧。依靠政府还不如自己修炼哦。
更简单的办法:**

使用 WinRAR 就可以看到 控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D} 目录里的文件和目录,子目录结构也没有变化,被隐藏的文件可以直接复制出来。
打开后会看到一个文件夹名是,12位的,对,聪明人一想就知道了,那个就是注册码,写到他给的哪个软件里OK了,数据都恢复了,
另外如果大家找不出来,我给大家一个不完全的对应表,
中毒后得到的是24位的串号,他是两个数代表一个注册码的,我得到的不完整,希望大家即时再更新,
00—8 01—? 02—4 03-c 04—? 05—w 06—6 07—f 08—3 09—u 10—t 11—? 12—y
我的串号对应关系为:00 00 00 10 14 11 15 15 10 06 15 15 对应的序列号为:8,8,8,T,R,7,5,5,T,6,5,5
另外我把我掌握的该垃圾软件的垃圾的信息公布如下:
姓名:欧阳俊曦(不知道真假工商卡号上的)
工商银行卡号:95588 0360 2145 217931
建设银行卡号:5324 2700 2895 2023
手机号码:13560466106 来源广州市,打电话过去不会有人接的。
回复短信的号码:13580386200
这垃圾在硬盘上的“修复硬盘资料”软件名称redplus.exe,其他信息有待高手们搞定吧。



敲诈者病毒变种有两个版本,TrojanSpy.Agent.br中毒后显示症状与原病毒基本相同,不过病毒作者在隐藏文件技术上进行了改动,把原先通过属性隐藏文件夹的方法改为锁定注册表隐藏文件,这显然加大了普通用户手工清除病毒的难度。敲诈者另一变种BS中毒后显示为“新曦数据库”软件界面,敲诈手段基本相同,都要求中毒后向某账户打入钱购买破解密码。据反病毒工程师追踪发现,两变种疑系一人所为,前一病毒作者的网名为“俊曦”,除名子相似外,病毒关键特征码也有相同之处。

敲诈者病毒变种运行后,强行修改以下键值:
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"Hidden" = 2
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"HideFileExt" = 1
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"SuperHidden" = 1
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"ShowSuperHidden" = 0

这样无论用户如何通过文件管理器上“查看——文件夹选项”中的“显示所有文件和文件夹”以及“显示受保护的操作系统文件”这两个功能,都不能将病毒建立的文件备份文件夹显示出来的。

针对病毒修改注册表键值隐藏用户文件的做法,江民反病毒专家认为破解起来并不困难,稍有注册表常识的用户只需运行“regedit”,修改被病毒破坏的注册表为以下各个键值,这样就能显示隐藏文件以及系统文件了然后请定位到一下注册表键值:
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"Hidden" = 1
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"HideFileExt" = 0
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"SuperHidden" = 0
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"ShowSuperHidden" = 1

据悉,近日江民科技客户服务中心已接到数十例用户感染该病毒的报告,有迹象显示该病毒有进一步传播的可能性,江民反病毒专家提醒广大用户务必小心提防。针对该病毒,江民杀毒软件KV2006(单机版/网络版)都已紧急升级,用户只需升级杀毒软件到最新病毒库即可有效防范。此外,专家提醒用户,如不慎受到该病毒感染,千万不要给黑客汇款购买所谓的密码,以免助长黑客的嚣张气焰,受到更大的损害。