紧急求助：朋友公司电脑中了 cryptowall 2.0 病毒，所有电子文件被加密。嫌犯要求 24 小时内支付 750 刀，否则加倍，到达一定时限就“撕票” ……第一个时限是 14 号（周五）下午 3 点半……… 希望有高人出手！感恩！

时限

cryptowall

加密

164 条回复 • 2014-11-20 18:30:13 +08:00

1 2

❮

❯

1

Automan

2014-11-13 23:49:32 +08:00

给钱吧

2

airzope

2014-11-13 23:51:39 +08:00

给钱然后报警吧。

3

bitwing

2014-11-13 23:53:35 +08:00

你应该报警，高人出手同样要收费

4

vibbow

2014-11-13 23:56:31 +08:00

2

1. Ghost备份硬盘
2. 电脑断网
3. 改BIOS时间，慢慢破解密码吧......

5

Midnight

2014-11-13 23:56:32 +08:00

这典型点绑架勒索啊～

6

XuanYuan

OP

2014-11-13 23:59:47 +08:00

网上搜一下就知道啦，这家伙已经勒索了几百万美元了！

另外，中招的不是我，是我朋友。她的资料很重要，据说公司还让她自己出钱……阿弥陀

7

supman

2014-11-14 00:06:52 +08:00

基本无解......这件事告诉我们, 要注意备份资料啊!!!

8

nicai000

2014-11-14 00:13:34 +08:00

无解, 不用想了

9

Sunyanzi

2014-11-14 00:16:51 +08:00

1

论异地备份的重要性 ...

750 刀的版本貌似用的是 RSA-2048 ... 解密基本等于没戏 ...

报警也没用 ... 赎金应该只接受等额比特币支付 ... 这种事情警察蜀黍哪里管得了 ...

解决方案其实一楼说的很明确了 ...

几千块钱说大不大说小不小的 ... 要么给钱 ... 要么就辞职吧 ...

就当学费了 ...

10

mengskysama

2014-11-14 00:17:06 +08:00

突然想到了

http://blog.knownsec.com/2014/08/synology_nas_hacked_by_synolocker/

.交钱比较靠谱，一般这种加密是解不开的

11

ericFork

2014-11-14 00:34:50 +08:00

那就出钱吧，数据无价。真撕票了，再想回来交钱就晚了..

12

ipconfiger

2014-11-14 00:40:07 +08:00

搜索到一个网页不知道有无用处 http://removespyware.uninstall-spyware.net/cryptowall-2-0-删除指南

13

em70

2014-11-14 00:41:40 +08:00 via Android

就怕流氓有文化啊

14

bitwing

2014-11-14 00:43:16 +08:00

好吧查了下，之前的回复请无视：
看来没做备份
这篇文章及下面的讨论提到了可能地恢复方式
http://www.techrepublic.com/article/cryptowall-what-it-is-and-how-to-protect-your-systems/

15

heyf

2014-11-14 00:44:25 +08:00 via Android

@ipconfiger 这个蹩脚的机器翻译是怎么回事…

16

lcqtdwj

2014-11-14 00:45:07 +08:00

我去。。这也可以

17

wzxjohn

2014-11-14 00:51:12 +08:00 via iPhone

@vibbow 私钥加密，没有密码一说。
@XuanYuan 无解的，给钱吧。
@ipconfiger 不是一个东西。。。

18

wzxjohn

2014-11-14 00:53:52 +08:00 via iPhone

@bitwing 哪有恢复方式。。。只有如何保护。。。

19

wzxjohn

2014-11-14 00:57:11 +08:00 via iPhone

1

@XuanYuan 如果你不理解我们为啥让你交钱请去搜索
RSA 阮一峰
看完你就知道为啥了。
这个软件现在时限一到直接删除私钥，谁都救不了你。

当然，如果你觉得你能用750刀以内的价钱找到性能特别牛逼的超级计算机全力帮你跑大质数分解，说不定你运气好一点有生之年还能看到这些文件？

20

BinbinWang

2014-11-14 01:02:50 +08:00 via iPhone

这个公司太无情无义了
虽说钱不是很多，但是这样的公司还有必要呆下去么！！！

走走走

21

gancl

2014-11-14 01:14:53 +08:00

用easyrecover恢复吧
早git提交服务器就没这事了

22

mengskysama

2014-11-14 01:23:51 +08:00

我觉得需要制造出一台量子计算机。再找一堆懂用量子计算机写程序的人。
easyrecover肯定没用，物理覆盖过的没用的。

不过据说有机构能够重填0后的硬盘恢复出数据的黑科技。

23

dangge

2014-11-14 01:52:46 +08:00

歪楼问下，楼主朋友有装什么防护软件么？
如果装了，烦请告知一下，以后直接丢进黑名单了。
虽然是普通人，数据没什么价值，但是还是觉得这种加密数据的方式太无耻 = =而且这对黑客来说并不难。

24

x86

2014-11-14 02:02:40 +08:00 via iPhone

碉堡了这东西，一般用户怎么防范

25

canautumn

2014-11-14 02:07:26 +08:00

这个数选的很巧……如果拿去专业恢复硬盘怎么也得一两千刀了。

26

typcn

2014-11-14 03:16:52 +08:00

1

最可怕的是给了钱还不给你数据继续敲诈你，
我前段时间磁盘物理损坏了1TB的全加密数据，不过还好又搞到了.....

27

Earthman

2014-11-14 03:23:44 +08:00

@typcn ,不会的，人家还算“讲信誉”会很快给你解密的

28

Iblard

2014-11-14 03:56:23 +08:00

@typcn 据说很讲信誉...

29

lightening

2014-11-14 04:07:26 +08:00

@typcn 那他以后就敲不到钱了

30

SharkIng

2014-11-14 04:28:33 +08:00

如果是公司的资料对于公司来说“很重要” 公司不给钱你就辞职就行了，反正这东西也不能完全说是你的错

如果是自己的资料或者说你不想和公司闹掰的话就给钱吧，给钱后报警，虽然报警没多大用处但是总比自己憋着好

31

yanguango

2014-11-14 05:53:30 +08:00

我奇怪如果对于一个公司来说，真这么重要的资料为啥会只在你朋友电脑里有，为啥没有备份

32

ffffwh

2014-11-14 05:56:34 +08:00

上次有人说把root权限管好了就安全了，我就想说这货来着。
so，杀毒软件还是备一个，哪怕平时不开实时监控，碰到可疑文件还是要扫描一下。

33

Showfom

2014-11-14 06:37:10 +08:00 via iPhone

哎重要文件就应该有版本控制的备份啊就算误删除了都得找回来

34

virusdefender

2014-11-14 07:55:05 +08:00 via Android

先全盘镜像备份啊

35

clino

2014-11-14 08:00:22 +08:00

看着挺害怕的,什么平台上会中这种东东?有什么防范措施吗?

36

wzxjohn

2014-11-14 08:09:23 +08:00

@mengskysama 而且成本要在750刀以内233
这样的黑科技据说真的有。。。NSA的技术据说已经可以恢复反复擦出30次以上的数据了。。。据说。。。说错了也别喷我。。。

37

vking

2014-11-14 08:10:56 +08:00 via Android

为什么是750刀？

38

bobopu

2014-11-14 08:22:43 +08:00 via iPhone

找drweb解密。

39

jameswush

2014-11-14 08:24:14 +08:00 via iPhone

如果存在云端，现在很多网盘提供还原到之前版本的功能，公司服务器，一般不是也应该定时备份，看最近一次备份时间，挽回一点是一点。

40

mgc

2014-11-14 08:27:03 +08:00

交钱报太平，这种事情没办法的，比熊猫烧香高明多了

41

mengzhuo

2014-11-14 09:11:11 +08:00

我去……这太可怕了……

42

66beta

2014-11-14 09:21:01 +08:00

重点是，这样的公司，你还帮它着急？
拍拍屁股走人，只能怪IT头上了

谁让你不用卡巴斯基（这是个梗）

43

wezzard

2014-11-14 10:01:55 +08:00

又是我的朋友系列。

44

linking

2014-11-14 10:03:12 +08:00

居然有这么可怕的病毒..
搜索到一个网页，不知道有没有用
https://virushelpcenter.com/zh-tw/remove-cryptowall-virus/

45

Doubear

2014-11-14 10:07:17 +08:00

长见识了、麻痹流氓有文化啊

46

twitterpig

2014-11-14 10:22:11 +08:00

好可怕~

http://imedical.me/wp-content/uploads/2014/11/blue-bag.jpg

47

lsmgeb89

2014-11-14 10:24:51 +08:00

@Sunyanzi 草 RSA-2048 比 moto 的 bootloader 还狠！

48

kiritoalex

2014-11-14 10:26:25 +08:00 via Android

第一，你朋友有重要文件，为什么没有做增量备份（比如上面有提到Dropbox的增量备份功能）第二，既然是重要文件，保存的电脑为什么没有权限管理控制（其实完全可以用HIPS例如comodo来控制非常规程序访问特定后缀的文件），甚至这台计算机可以用linux系统，

49

love060701

2014-11-14 10:28:02 +08:00

没办法，只能给钱。这个病毒只能防，中毒了就没办法了。。。没装杀软？没装国产杀软？国产杀软虽然流氓，但是对这个病毒专门进行了邮件防护。

50

sarices

2014-11-14 10:30:05 +08:00

我想知道750刀是怎样想的，为何不是1K或者800，700之类的

51

won

2014-11-14 10:31:12 +08:00

1

750刀就认了吧，我最倒霉的是存比特币钱包文件的移动硬盘让人拿去格式化后拷日本电影了，几年后才发现

52

barbery

2014-11-14 10:35:06 +08:00

我擦，这是在windows中招的么？

53

bugeye

2014-11-14 10:46:14 +08:00

没人吐嘈比特币不就是为了犯罪而设计的吗。

54

jason52

2014-11-14 10:48:57 +08:00

按照这则新闻说的，付钱的人也不多啊。即使按照750刀计算，110w/750 = 1466 ，他可感染了这么多系统啊，那么多人后来是怎么解决的？难道都有备份？还是付钱门槛太高算了？

55

jason52

2014-11-14 10:50:22 +08:00

另外，这个病毒真是恶心人。。。

56

ooh

2014-11-14 10:50:51 +08:00

我想知道如何中招的,我好预防一下.

57

aaalzk

2014-11-14 10:50:56 +08:00

文档什么的存SVN服务器又花不了几个钱咯,再不济找个网盘自动备份也好
/t/142334

58

puttin

2014-11-14 10:58:49 +08:00

怎么中病毒的如何防范

59

jiongjionger

2014-11-14 11:00:49 +08:00

很遗憾，无法破解

60

supman

2014-11-14 11:12:33 +08:00

@won 哈哈哈哈用价值不菲的比特币买了点片儿.....

61

walkingway

2014-11-14 11:17:51 +08:00

前阵子在the good wife这剧中看到的场景，果然美剧是紧跟潮流啊，不过最后结果是通过FBI找到了俄罗斯的黑客，给他电脑里传了反普京的视频威胁他，最后要回来了key，哈哈。

62

mailunion

2014-11-14 11:18:59 +08:00

@vking
@sarices
人家要的是1.几比特币，转换过来刚好是750刀。
人家就是要这个数，就是这么任性！

63

XuanYuan

OP

2014-11-14 11:21:50 +08:00

统一回复一下：

1、我朋友公司是非 IT 行业的外企，IT 管理其实蛮严的，加了域权限，不能安装软件、不能使用移动存储，而且公司规定电脑上的文件不能进行私人备份；

2、她中招是点了邮件，访问了某个国外网站。邮件的内容和她的职业相关度很高，所以中招了；

3、这些文件，对于公司和她个人都很重要，如果因此离职，对双方都有伤害；

4、关于谁出钱的问题，朋友认为是公司的 IT 部门没有防范住，应该由公司承担；我的个人观点是，误点邮件的责任在于个人，就好比公司给了你一辆车让你开，但是你把车撞烂了，这个情况下还是应该由个人承担。当然公司如果能主动承担的话，是一种态度。

64

vaneoooo

2014-11-14 11:26:11 +08:00

点了封邮件访问个网站？
@XuanYuan 和最近爆出的任意IE版本可执行漏洞有关吧？

65

won

2014-11-14 11:31:15 +08:00

1

@XuanYuan 我觉得如果公司给车给个人开，公司有义务为车及员工上保险。否则员工开车办事中出现的事故，应该算工伤

66

jzhone

2014-11-14 11:35:59 +08:00

https://forums.malwarebytes.org/index.php?/topic/159571-cryptowall-20-removal/

MB 上的解决方法

67

XuanYuan

OP

2014-11-14 11:41:07 +08:00

@won 那譬如说你借了公司的车出去呢？不是抬杠，就是讨论一下。

68

GPU

2014-11-14 11:47:45 +08:00

国内外都有案例吗？
球知道。

69

kiritoalex

2014-11-14 11:52:18 +08:00 via Android

@XuanYuan 我个人认为不应该由你朋友个人承担责任，因为，针对商业的钓鱼这个防不胜防，我也不认为公司并没有责任，请及时与公司相关部门联系

70

chenshaoju

2014-11-14 11:52:51 +08:00

也有交了钱结果没有收到密钥的案例。

http://www.solidot.org/story?sid=32611

71

kiritoalex

2014-11-14 11:59:28 +08:00 via Android

@chenshaoju 少举好，没想到在这儿碰到你=3=

72

bitwing

2014-11-14 12:00:49 +08:00

能否公开一下邮件中那个网站的地址

73

BlueFly

2014-11-14 12:02:41 +08:00

2

@XuanYuan 不好意思，头像看着讨厌，完全自干五形象。
@dangge 你这么问，那你可以把全部杀软加入黑名单。从来都是先有病毒再有杀软升级，杀软能做只能特征码防杀已有的病毒，那些启发式、沙箱查杀未知病毒都有局限。真要防，还得自己的良好习惯，当然不怕麻烦可以使用HIPS控制行为，不过使用前提也得懂点系统。

@ooh
@puttin exe程序，跟木马那些一样，不执行就不会中招，肯定是用尽办法引诱你运行了。

我可以很认真告诉大家，IDM+HIPS是最佳防御，IDM前端控制，HIPS后端防线。以前的兴趣就是收集各式病毒。

74

Elix

2014-11-14 12:04:08 +08:00

@won 同样，我也有一个问题，公司的笔记本电脑，交给个人使用，结果在路上被人撞坏了需要维修，那么这笔维修的费用应该是谁来出？不是抬杠，是真实的事例，纯探讨。

75

chenshaoju

2014-11-14 12:12:50 +08:00

@kiritoalex =3=

76

subpo

2014-11-14 12:15:55 +08:00

@Elix 好（正常）公司是公司出

77

kiritoalex

2014-11-14 12:18:15 +08:00 via Android

@BlueFly 朋友，你逛卡饭吗？

78

SharkIng

2014-11-14 12:38:49 +08:00

@XuanYuan
@Elix
这两例子能一起说么？

公司笔记本给你用，是公司财产，如果因为你个人原因坏了，当然是你自己修，如果是因为公事使用坏了（例如LZ提到的一个和自己工作相关的邮件发到公司的邮箱，不打开？不可能吧？打开？中毒了？）那就应该公司管。当然，路上被人撞坏了，要看你是怎么撞，你要是去办公，工伤公司负责，电脑自己负责。我是这么理解的。

至于“借了公司的车出去” 如果是公事，公司负责，如果是私事，自己负责，很好理解啊。

关于这个点了邮件谁出钱问题，就看当时你是在用公司邮箱还是自己私人邮箱了，私人的，那么就没理，公司的，公司不给钱就说不过去。如果想比较好的处理，就看看有没有可能一人一半解决了先把资料拿回来再说。

PS：不是很理解为什么一个文件会对于“公司和她个人都很重要，如果因此离职，对双方都有伤害”，这样子公私不分可不好

79

exploreexe

2014-11-14 12:43:33 +08:00

首先我认为这个责任在公司IT部门，LZ朋友是点击邮件中的链接网站中招的，肯定是网页挂马了，IT部门为什么不强制给域下面得机器打补丁？打了系统补丁是肯定不会中招的。比如昨天爆出来的漏洞，第一时间打补丁的话，就能把风险降到最低。这不是你朋友的责任。

第二回复下@BlueFly 你想一个普通白领怎么知道HIPS？就算知道，又有几个人上班的时候装这玩意天天没事搞规则？

第三装360吧，无可否认现在360是国内做的最易用云查杀做的最好得，真的没有之一，虽然他不那么有节操，但是他可以保证小白用户的基本安全。放在前几天启发式特征码什么的国外反病毒软件做的比较好，比如NOD32、卡巴的启发式，这两件也就呵呵了，特别是卡巴，配置差点的就不用作别的了，看杀毒软件配置就行了。

80

PP

2014-11-14 12:45:56 +08:00 via iPad

3

贵友正常履行工作职责，浏览工作邮件为必要职务行为，不存在工作失误一说。IT部门没有对邮件和内网安全把好关，已属失责。硬盘感染病毒后，贵友已经及时上报并要求处理，尽到了相关义务，接下来一切事务与贵友无关。最后是否支付该赎金的决定权属于公司，费用也应由公司承担。若因个别人员或部门提出贵友担责甚至支付赎金等不当要求而导致发生数据彻底无法挽回等损失，一应后果由该人员或部门承担。若此事件导致贵友职业中断或受损，可汇集证据后至法院起诉并索赔。

81

AES256

2014-11-14 12:52:00 +08:00

@vibbow 破不了的，即使你用超算。。。

82

ChanneW

2014-11-14 12:54:35 +08:00

影音文件都不放过,看来加密效率提高了.

83

fedmond

2014-11-14 12:55:05 +08:00

我就说了一部分的中石化办公系统是IBM的lotus+趋势科技

付钱什么都好用什么360 金山

84

imn1

2014-11-14 12:55:16 +08:00

如果是公司电脑（在前述局域网内）中招，我认为只要是公事就应该公司负责，因为禁止安装软件，自己想运用有效手段防护也不行，所有安全事务其实都应该由公司负责

既然连软件也不让装，不让拷贝，却没有对非公事的邮件拦截就奇怪了

85

BlueFly

2014-11-14 13:13:58 +08:00

@kiritoalex 不逛，因为这是在卡饭论坛出来之前的兴趣，那时候，上报新病毒是有奖励的，所以各式品牌正版杀软一大堆，金山除了杀软，还可以拿金山全线产品正版Key，而趋势是积分制，1分相当于2元，能兑换对应价值的任意电子产品（参考太平洋上海报价），兑换了当时约1300元的产品。乐此不疲搜刮新样本，实机检测（那时代内存金贵，512内存已经不错了，跑虚拟机实在不行），并手工清除之。

@exploreexe HIPS是个大类，单纯行为分析的并没有多少规则。在以前，IDM+SSM，再加个注册表快照工具，简直是病毒分析神器组合，无论什么病毒，从哪里来，怎么运行的，会调用啥东西，会生成什么文件，注册表修改了什么键值，都清清楚楚。要手工清除还不是秒秒钟的事

86

dangge

2014-11-14 13:17:02 +08:00

@BlueFly 那么对于楼主这种“点了一下邮件链接”就中毒的事，应该怎么防范？
另外IDM是什么。。。。我只知道下载工具那个IDM

87

XuanYuan

OP

2014-11-14 13:18:30 +08:00

@chenshaoju 陈少举？我好像在哪里见过你……

88

j

2014-11-14 13:19:28 +08:00

仅仅是挂马这么简单就中招了么？能否找出链接啊。很好奇啊.

89

semicircle21

2014-11-14 13:25:01 +08:00

@XuanYuan
1. 100% IT 部门责任, 员工只是出售专业技能和劳动力而已, 防范病毒不在专业技能之列. IT 部门经理应该担责任, 扣奖金.
2. 推荐出钱, 但要有技巧, 比如, 必须要求先恢复一小部分, 以证明他有能力恢复, 然后再付全款.

90

chenshaoju

2014-11-14 13:34:07 +08:00

@XuanYuan 对，我到处都是。。。

不过你这个问题基本无解，如果是点击一个网址，没有下载任何东西（简单地说，是通过IE漏洞），那么应该是IT部门的问题。

如果计算机上IT部门没有部署安全软件，或者安全软件没有动作，那么也是IT部门的问题。

如果操作人员将安全软件禁用了，那么肯定就是操作人员的问题了。

91

feefk

2014-11-14 13:39:36 +08:00

以后还是多用正版软件了。。。不然还得花更多的钱。。。

92

xuwenmang

2014-11-14 13:41:45 +08:00

他们没备案，要是有域名/网站备案，早就抓到这些不法分子了。。

93

BlueFly

2014-11-14 13:43:53 +08:00

3

@dangge 就是下载工具IDM，重点是IDM是完全集成到系统，任何下载请求都被IDM接管。所谓网页木马就是在网页中插入不良代码，利用IE漏洞偷偷下载某类型文档，包括exe/com/scr可执行文件并偷偷运行，IDM就可以拦截，比如你打开v2ex，又没下载，突然IDM弹出一个下载框，而且地址是用IP或者其他域名的，你也知道有鬼吧。挂马盛行时候，不少中型站都被挂马过，太平洋某地方报价都有，当年特意围观收集木马。只不过这些中型站有人维护更进，维持时间很短，属于秒杀手快有，去晚了就没木马了 -_- 用IDM的好处是可以偷懒，不用特意翻看网页源代码查找木马下载地址。当然IDM有文件类型限制，比如以前某个IE漏洞，CSS文档能被系统错误执行，于是木马会伪装为CSS文件，实质仍是可执行文件。如果跳过了IDM，那就由HIPS后端防护了，比如你浏览一个网站，突然跳出一个运行请求，且路径是%temp%临时目录，你怎么也警惕了，当然前提你得懂系统，一旦全部放行，等于没有防护。

94

waye

2014-11-14 13:45:31 +08:00

看来是给钱也不一定能解锁呀，还是让公司IT解决吧，这个和员工无关。

95

ab

2014-11-14 13:48:56 +08:00

还有一个多小时了,给钱了吗?

96

XuanYuan

OP

2014-11-14 13:49:22 +08:00

@chenshaoju 那我们应该是在某个论坛里面见过，哈哈，以前用的 ID 是“轩辕一笑”

97

XuanYuan

OP

2014-11-14 13:51:23 +08:00

@xuwenmang 域名备案……你问下 V2ex 有多少愿意备？

98

BlueFly

2014-11-14 13:55:07 +08:00

1

@dangge IDM已经可以拦截大部分的未知下载请教了。网页挂马是概率游戏，利用的都是浏览器的漏洞，浏览器漏洞防不胜防，并不是你用某某浏览器安然无事，由于网络环境的复杂性，这些诱导网页，有可以一打开就被关闭（例如弹窗），为了最大化利用，这些网页通常会首先嵌入一种叫木马下载器的网页木马，大小只得50KB左右，保证最差的网络，即使一打开就被关闭的网页也能加载成功。然后木马下载器再后台慢慢下载真正的木马。这些木马下载器通常直接就是可执行文件，IDM都能拦截下来，已经降低不少机率。

99

jason52

2014-11-14 13:57:11 +08:00

@BlueFly 哇，hips专区，你记得有个叫竹节大将军，有个安静的可怕的规则不。那时是启蒙啊

100

BlueFly

2014-11-14 14:05:11 +08:00

@xuwenmang 你真特么搞笑！告诉你，很多中型网站都被挂过马，太平洋地方报价也一样中过招，把太平洋抓了？知道攻击不，跨站攻击，特别是使用国内Windows全能空间，一个站中招就连累一大片邻居，有很多博主博客挂马十多天都不知道，自己不知道，访客也不知道。

1 2

❮

❯