@wevsty 不过我也是希望有重要文件(至少文件价值远大于一台普通个人电脑)被锁的人能多一丝希望……

@wevsty 哎，确实，勒索作者想搞得点水不漏太容易了。

@bkmi 知乎站队撕逼好像也蛮严重的。

@wevsty 这么想也许有点幼稚，不知道对不对:大家与其把赎金交给勒索者，不如捐款给安全专家让他们集中精力分析勒索病毒？

@wevsty 是的，手动开休眠会覆盖数据，我忘了说了。但是对于已经开了休眠的机器，我觉得休眠至少不是个更坏的方法，对于那些忘记备份重要数据(也许还可能是无法实时备份)的人来说，多一丝希望也是好的。

@Livid 谢谢

@tabris17 休眠就可以 dump 出内存来，操作很傻瓜。
而且现在的勒索看上去“ low ”，不代表以后不会出现技术变态猥琐的……毕竟能拿到赎金，被抓的也少，诱惑很大啊。
不过我觉得各大安全公司的专家肯定也想到 dump 内存了，我只是不明白他们为什么不把这个思路推广出去，肯定是出于某种考虑的。

我觉得官方售后和支持可以比作三甲医院，但不少用户可能出于省钱 /方便等目的选择没有经过认证的电脑店。
GHOST 系统能流行与装机工脱不开关系。
很多人到现在还觉得重装系统=GHOST。
(额，其实向 GHOST 系统开炮也不太合适，毕竟没关自动更新的“良心” GHOST 也是存在的)

@tabris17 wanakiwi 的原理不是公钥推私钥(难度超高)，而是从内存中搜索生成 RSA 密钥对的质数，然后重建出私钥。
而且 LZ 好奇的并不是 wanakiwi 本身，而是为啥没见到有人宣传中勒索后应该先想方设法 dump 出内存。

我觉得，现实中缺少一个孜孜不倦科普的“教育者”。
网上有很多教程，但往往各种 copy，良莠不齐，谣言和伪技巧泛滥。
用户相信乱七八糟的教程是用户自己的不对，但是难道就没有办法改变这个现状么？

另外，对于联想等预装 bloatware 的 PC 制造商，他们甚至装过 SuperFish 之类个软件……本来他们在小白面前应该扮演权威的角色，但实际上还在干这种事……我觉得用户相信乱七八糟的教程，各大预装 bloatware 的制造商也得反思一下吧。

@YanwenSun 不是开了 BitLocker 会加密整个分区，然后 hiberfil.sys 和 pagefile.sys 如果在被加密的分区就会被顺带加密么……除此之外还会有什么情况会加密它们？

@Livid 虽然现在主要讨论的是 Windows，但是勒索软件在其他系统上也存在，dump 内存的思路应该也是通用的，也许可以再移动一下？

@wevsty 从内存 dump 里找密钥可能的确很难，可能是知乎的答案让我产生了分析病毒这件事不难做的错觉……
不过，如果受害者中的是流行的勒索病毒，样本相似性很高，甚至大家中的都是一样的，那分析成本可能摊到每个受害者身上就不多了？

@wevsty
稍微搜了一下，好像又找到支持休眠的消息了:
https://superuser.com/questions/746290/what-happen-if-we-reduce-the-size-of-hiberfil-sys
看上去就算 hiberfil.sys 不够大，也只会休眠失败，而不会撑大这个文件？
果真如此的话，休眠的坏处好像仅仅剩下腹黑变态的勒索作者可能做出撕票之类针对性报复行为了吧——但受害者一方也不是完全没办法吧，安全专家会逆向病毒样本，那么说不定还有机会把病毒作者的小花招干掉？

@wevsty
刚刚回复得有点急……可能我说的有点缺乏逻辑。
刚刚稍微缕了一下思路:
我一开始以为休眠不会造成坏影响——反驳:hiberfil.sys 可能伸缩，然后就可能吃掉原本有希望恢复的文件。
我认为休眠可以增加获救概率——反驳:根据最初的分析，通过数据恢复途径“自救”更有价值。休眠反倒可能阻碍数据恢复。
可能安全专家们的确缺失了 CryptReleaseContext 的一些犄角旮旯的知识，也可能他们虽然知道这些知识，但害怕复杂的语言影响传播，所以最终还是选择放弃宣传内存 dump 这条路。
过了那么多天才出现搜索质数的自救方案，只能说遗憾。

@reizen 拍脑袋想一下:病毒可能会直接尝试覆盖原文件，而不是创建新文件。为啥 WanaCrypt 没这么做我就不懂了。

@wevsty Win8 起，因为快速启动，开了休眠的人应该挺多的。但 hiberfil.sys 如果“伸缩”了，可能的确会覆盖掉本来有希望恢复的数据。

@wevsty
1.我记得 hiberfil.sys 不是提前占过空间的吗，这样应该不会影响数据恢复啊……看样子我可能确实姿势水平不够。
2.我也没说一定能找回来，现在提这个看上去确实很马后炮，不过我还是觉得，想办法 dump 出内存可以提升获救的概率——就是赌一把。
3.原谅我的姿势水平不足……我只是看过主贴那篇分析文章而已，看得还不仔细，但我记得作者说过勒索作者没犯错来着……
4.我觉得除非碰到腹黑变态的勒索制造者，休眠操作可以阻止病毒继续运行传播，而且好像不会比拉电源有太多显著的坏处(不知道对不对)。

@SuujonH 欧洲刑警组织都在 Twitter 上转发了，这玩意已经不是技术宅限定了吧。
不过我想说的是为啥各大安全厂商不建议大家想办法 dump 内存，明明 dump 下来可以增加完全恢复概率的。