【分享】网络资料加密勒索--解密

银色海豚

也许关系到你的数据资料正在别人的虎视下～
也许你已经被入侵却浑然不知～
请往下看（:002: 那个小白点就是我）
目录：
1，中天论坛的ms帖子内容【ZT】
2，解决办法补遗【原创】
3，后续操作补遗【原创】

1，中天论坛的ms帖子内容【ZT】
以下内容是原贴
附中着过程以及解决办法

最近发现普通用户电脑被入侵，资料被隐藏、加密的事情多了起来，电视也做了报道，所以特发此贴，由于涉及到你本人资料的安全，强烈建议大家耐心看完！！！最下面有解决办法。
昨天遭遇一次“利用病毒”敲诈的事情，现把经过全程记录如下，希望能给大家一点帮助。
2006年6月11日下午，因我要查一个“短信平台项目方案”下载了一个rar文件，解压缩后发现是一个名字是”点击这里打开.exe“的文件，因我有杀毒软件，以前也多次遭遇病毒，因为我确实需要这个方案，所以我就点击了这个软件。软件运行之后，我的杀毒软件、qq、popo、msn就立即被关掉了，我第一个反应就是，这个软件果真是病毒，只是奇怪我的杀毒软件怎么不管用，并没有太大担心。心想中毒俺又不是一次两次了，怕啥哦，大不了重装系统。可奇怪的事情出现了，我保存在电脑上的资料不见了，象是被删除了一样，文件类型包括word文档、excel文件、部分可执行文件等等，这下糟了，我多年的电脑文档和心血全没有了，为了让杀毒软件运行，试着重新启动电脑看看，启动好以后跳出一个“拯救硬盘.txt”的文件，显示的内容大致如下：
“1. 你的硬盘损坏了，是因为手机的强电磁流影响了硬盘的正常读写
2. 你必须使用磁盘修复工具来拯救丢失的资料文件
3. 但是，你正在使用的不是正版软件，是法律所不容许的盗版
4. 你必须拯救修复丢失的资料，并且尽快购买正版的软件，
5. 点击左下角 [ 开始 ], 点击 [ 所有程序 ], 点击 [ 附件 ], 点击 [ 修复硬盘资料 ]
6. 为了确保你能尽快修复全部资料，请在两小时内不要读写硬盘
7. 可以修复的资料包括:
......”
果真，我在开始菜单中的附件中看到“修复硬盘资料”这个连接，我运行之后，就跳出以下这个画面：

我的第一反应就是遇到敲诈了，接着就想报警。因为我的资料非常重要，基本上是我工作的全部啊，所以从大约4点钟开始在网上搜索解决办法。先通过百度用“拯救硬盘”搜索，果真在网上找到跟我遭受同样遭遇的不少啊，而且从留言回复来看，最好解决办法就是给他汇款。**，我最讨厌这种人，说什么也不能给他汇啊，因此，我抱着尝试心理，按这个图片上的手机号码发了一条短信，这个家伙回复了，说信息已经收到，只要汇款就可以解决问题。然后我说我没有工商卡号，他就又发了一个建行的卡号给我。我要求支付宝付款，但是他不同意，只接受工行和建行，看来没辙了，只能自力更生了。
于是，我问了我的同事，同事 说可能是doc.exe病毒，我就按照这个博客的解决办法，尝试了一下，不行。这时已经过去1个多小时，按照这个病毒的说法，岂不是我的文件不给他汇款就找不回来啦。我这个急啊、恨啊、就差立马给他汇款了。
这时我在这个网址上看到中招的人发的一个图片，如下：

看到这家伙还要付款的金额不一样，心理更加不平衡。决定还是再想想办法，这时真后悔没有好好学习啊，以至于出了问题搞不定啊。
这时，我想到“硬盘恢复软件”，于是在网站上下载了一个号称最灵的恢复软件“easy recovery 6.0”，号称是中文无限制版，谁知，不但是个英文版，而且还是个共享版，只能看到多少个可以恢复的文件，却不能看到是什么文件，气死老夫也。
这时后，已经过去3个小时了，我都快坚持不了了，真想汇钱给他算了，于是给他发了一条短信，问他能便宜点不，哈哈，他的回复是“已经很便宜了”。看来只能继续自己努力了。
这时我在一个网站上下载了一个绿色版的中文界面的恢复软件“recover my files”，这个软件不错，可是用这个软件反复搜索找到的都是我曾经删除了的文件，始终找不到被那个病毒软件删除的软件。心想完了，于是我想起了瑞星公司，决定打个电话咨询一下，因为要等时间太长，放弃；于是给江民公司打电话，电话不通。再说了，现这个社会，即使电话通了也不会管的。算了吧，于是我又开始在网上搜索“拯救硬盘 病毒”，又看到其他几个论坛，也中招的朋友，但是我仍然没有搜索到解决办法，我看到有一个朋友说，即使找出来，也没有用，文件被加密了。这时我好好的回忆了一下我中招的过程：我运行那个病毒后，时间很快我的东西都不见了，而且没有听见硬盘运行的响声，应该文件还在，估计是被隐藏和加密了。于是我开始搜索加密软件，下载了一次，不会用，只能放弃。搜索关键字“恢复xp隐藏的文件”没有获得我需要的。唉，看来这下完了，要么屈服，要么就自认倒霉。在权衡之下，我觉得坚决不能屈服这种垃圾，宁可自己文件损失也不能屈服这个垃圾，给他汇款。于是我准备报警，我在网上搜索了这个手机号码：13560466106来源广州市，我也记录下来了他提供的工商银行卡号和建行卡号，决定报警。
于是我拿起电话，拨通110，然后，我把我的情况告诉了接听电话的小姐，我说我可能碰到利用病毒敲诈的事情了，这个小姐让我去当地派出所报警，我问能不能网上报，她说不可以，要做笔录。挂了电话，我活了30年还没有进警察局做过笔录啊，而且我怎么说啊？我现在损失只是文件，没有经济损失，综合网上各种评论，警察会管吗，万一警察不管，还奚落我一阵岂不是自讨苦吃？可是不把这个垃圾处理掉，岂不会有更多人中招，虽然警察不会管，但我能不能通过网络上发布一下信息，让大家防备一下，同时人多力量大，说不定有解决的办法啊。于是我想到了我经常去的新浪网，我就给新浪网的新闻热线打了电话，告诉了接电话的先生，希望他们网站上能够提醒网友不要上当。不过我从接电话的先生话语中，似乎他根本不想听我说完，只是说会告知科技部的人注意。nnd，连听我说完具体情况的耐心都没有，都不知道具体情况又怎么转告其他人了，纯粹是敷衍我啊。算了，心态平和点，谁要我等是草民，人家这么大的公司会管这些不是新闻热点、不是名人的事情呢。天啦，我的文件啊。
冲动之后，我静下心来，好好想想，平静一下。
我重新整理了一下头绪，综合一下我搜索得到信息可以确定以下要点：第一，这个人是利用病毒进行敲诈，敲诈金额不高，警察不管；第二，数据都还存在，只是被屏蔽或者隐藏或者被加密。可是对于我这个虽然在网络上混了很久，但是这方面却一点经验没有，头痛啊，也非常后悔没有好好学习啊。
这时，我想比较一下两张图片，看能不能弄到那个redplus（修复硬盘资料）的序列号，这时，我发现这个垃圾在我下载的图片上留下了名字“欧阳俊曦”，我眼前一亮，看看能不能找出这个人，然后狂扁他一顿啊。
于是我在baidu上用“欧阳俊曦”这个关键字又搜索了一下，又发现跟这个敲诈有关的五条信息，才知道这个垃圾把文件加密到同个驱动器的隐藏文件夹“控制面版.......”下面，同时我在““杭州志愿者论坛””上看到了这个问题的解决办法，网址http://bbs.hzva.org/viewthread.php?tid=16925
。我一下子兴奋极了，就差蹦起来了。赶紧按照上面的方法，下载了那个加密软件，在那个“控制面版...”目录下看到了我可爱的、完整的文件，我终于找回了我的文件。接下来我做的第一件事就是发个短信骂那个垃圾，第二就是打开网络电视看球赛。哈哈哈哈哈哈........
终于写完全过程了，但有些东西总觉得让我难受，第一，就是中国的警察同志们，为什么让我觉得报案也这么难受，不是我不想报案，是我觉得太复杂，而且我很担心去报案被他们取笑一顿，这是我不能承受，并且我在网上也看到说因为达不到立案标准，警方不一定会立案。这让我想起我曾经看到的一篇文章，文章题目我忘记了，大意是一位中国的教授在国外（可能是德国，我记不大清楚了）一个大学的图书馆丢失了一个包，里面有20欧元，当时他也觉得损失不大，想就算了不需要报警了。但是出呼意料的是图书馆管理员坚持报警，而且警察也迅速赶到现场为此忙碌起来。这位中国教授说，就这一点损失不需要劳师动众了吧，但是警察不同意，坚持一定要查......。这要在国内是不可以想象的。除非出现以下三种情况不管大小警察一定管，那就是名人、官员、老外。一般的平民百姓除非出现大金额、大后果、群体性事故才会管一管的。这同样让我想起现在的短信诈骗层出不穷，我以前也收到过一条，我打电话给移动公司，移动公司的小姐告诉我，你知道是骗局，你别上当不就行了。唉，这就是他们的工作态度，怎么不会让那些犯罪分子嚣张呢。
第二，新浪公司，其实也不能怪新浪，其他大的网站也会一样，根本不会管这些小事的，连我最起码的请求发个提醒的信息都没兴趣，算什么啊？只会追求新、奇、怪所谓的新闻热点。我本来还想给电视媒体打电话的，希望他们能发布一下提醒信息，最后我放弃了，因为我不想自讨没趣。
算了，回到这个文章的重点，现在简单的说一下解决过程：
解决过程
第一步，打开“文件夹选项”的“查看”，把所有的隐藏项目都去掉，你就会在你的一些驱动器下面发现多了一个“控制面版....”文件夹，你运行它，发现打开的就是控制面版，但是你点击这个文件夹属性你会发现有几百兆，其实你丢失的文件都在里面，只是它修改了这个文件夹的属性和加密了这个文件夹。图片如下：
“红色方框”就是被它隐藏加密改属性了的文件夹。

第二步，利用软件“final data（绿色版）.rar”打开那个“控制面版...”文件夹，你会发现你丢失的文件好好的躺在那里呢。
问题就基本解决了，虽然拷贝出来的文件属性是隐藏，而且暂时还不能修改属性，但是只要东西在就好了。虽然这个垃圾软件做的并不完善，特别起来也不是很难的问题，但是这个软件带来的后果和影响却是不可小视啊。首先，性质非常恶劣，因为它隐藏加密的文件都是一般公司很重要；第二，他敲诈的金额不大，如果网管没有找到解决办法，在重要资料和钱的方面一般会屈服这个垃圾；第三，万一这种方式开头不进行严厉打击，若被更变态的人利用，弄个象病毒一样，一般人不能解决的东西出来，那就非常危险，可偏偏这种小的敲诈警察叔叔会管吗？
发布这个文章，说了这么多废话，就是希望能让寻找这个垃圾解决办法的人一点帮助。还是毛主席说的好啊，“自力更生，艰苦奋斗”吧。依靠政府还不如自己修炼哦。
更简单的办法：
使用 WinRAR 就可以看到 控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D} 目录里的文件和目录，子目录结构也没有变化，被隐藏的文件可以直接复制出来。
打开后会看到一个文件夹名是,12位的,对,聪明人一想就知道了,那个就是注册码,写到他给的哪个软件里OK了,数据都恢复了,
另外如果大家找不出来,我给大家一个不完全的对应表,
中毒后得到的是24位的串号,他是两个数代表一个注册码的,我得到的不完整,希望大家即时再更新,
00--8  01--?  02--4  03-c  04--?  05--w  06--6  07--f  08--3  09--u  10--t  11--?  12--y
我的串号对应关系为：00 00 00 10 14 11 15 15 10 06 15 15 对应的序列号为：8,8,8,T,R,7,5,5,T,6,5,5
另外我把我掌握的该垃圾软件的垃圾的信息公布如下：
姓名：欧阳俊曦（不知道真假工商卡号上的）
工商银行卡号：95588 0360 2145 217931
建设银行卡号：5324 2700 2895 2023
手机号码：13560466106 来源广州市，打电话过去不会有人接的。
回复短信的号码：13580386200
这垃圾在硬盘上的“修复硬盘资料”软件名称redplus.exe，其他信息有待高手们搞定吧。

以下可能涉及到关机，重启等操作
但请注意:若非必要，在解决问题前不要执行重启操作，很多病毒能在重启那一刻彻底毁坏你的硬盘数据。最好硬盘能够嫁接到其他电脑上
2，解决办法补遗【原创】
（1），如果没有办法查看到隐藏文件请按下方法（若连接到他机操作则不要紧）：

把注册表 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] 下 type 项的值由  radio_bak 改为 radio即可.

3，后续操作补遗【原创】
（1）在未确定安全的情况下立即断网～！
即使上网查资料也最好不要在原机查～！否则人家没耐心格了你的盘你恐怕就OVER了（那个恢复就已经很麻烦了）
（2）如果不用本机，强烈建议关机，这招最狠～如果实在需要在本机上操作，请把源盘符卸载，以防病毒格式化，方法是在控制面板---计算机管理里，卸载盘符。

JayZ

想钱想疯了！