本文目录一览：

• 1、勒索病毒文件后缀名dot能恢复不？
• 2、勒索病毒在硬盘上大部分文件的后面新加了一个后缀缀名，
• 3、bip勒索病毒是什么类
• 4、勒索病毒WannaCry具体感染加密哪些文件？

勒索病毒文件后缀名dot能恢复不？

勒索病毒文件可以到爱特数据恢复处理。现在新型勒索病毒为GlobeImposter家族勒索病毒及其变种，它会加密磁盘文件并篡改后缀名为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE等形式。由于其采用高强度非对称加密方式，受害者在没有私钥的情况下无法恢复文件，如需恢复重要资料只能被迫支付赎金。

那么，今天爱特数据处理中心就给出对勒索病毒加密文件底层分析，让大家清楚勒索病毒文件是不是真的能恢复？

1.文件头部被加密或清空，并在文件尾部生产加密信息，但文件主体还是完好的，此种类型数据可以进行修复，特别是数据库文件，目前我们能对ms sql /my sql /oracel/access等常用数据库进行完美修复，修复的费用远远低于赎金，修复后，先验证数据，确认后再收费，安全有保障。

2.文件底层每间隔N扇区加密N扇区，并在文件尾部生产加密信息，具体间隔多少扇区和加密多少扇区各有不同，因文件主体大部分被加密，直接修复难度极大。如果是数据库文件，且备份文件较多，或有未被加密较新的备份文件，也能较好修复。

3.文件底层全部被加密，并在文件尾部产生加密信息，此种加密，目前无人能修复和解密，唯一的途径就是交赎金，拿到黑客的解密程序和秘钥。国内还有些公司大言不惭的说能解密云云，都是忽悠的。简单想想就能明白，勒索病毒爆发以来，全球都面临数据安全威胁，这么多国际安全厂商卡巴斯基、趋势，国内的绿盟、360、瑞星等等，都无能为力，更何况几个人的数据恢复公司都能解决，目前国内所有解密都是向黑客交赎金。

勒索病毒在硬盘上大部分文件的后面新加了一个后缀缀名，

中了勒索病毒的，您用这个脚本只去除后缀名是没用的。文件内部数据已经被加密了，就算您把那个添加的后缀名去除了，文件也无法正常打开。

好了，现在说说我那个代码，它是针对所有文件，又不是针对一种后缀格式的文件。您直接运行，当然会把原始后缀名的文件都更改了。如果针对一种或多种后缀格式的，那么在dir /a-d/s/b那里加上后缀名即可，比如

dir /a-d/s/b *.jm,*.pw

但言归正传，因中勒索病毒，而被修改的文件，就别指望我的代码了，那个是救不了您的文件的。

bip勒索病毒是什么类

. BIP后缀的勒索病毒是Crysis的最新变种，

您的位置： 网站首页  技术乐园  阅读文章

勒索病毒 CrySiS 的运行原理及防范方法

CrySiS 是一个知名的勒索病毒， 在去年5月被安全厂商围攻后找到了破解的万能密钥，该病毒就销声匿迹了，可最近该病毒经过升级导致万能密钥失效，又满血复活出来祸害万千网民了 — 其加密后的文件的后缀名为.java，由于 CrySiS 采用 AES+RSA 的加密方式，目前无法解密，只能等黑客公布新的密钥。下面简单说说它的运行原理。

CrySiS 成功激活后，会先创建一个互斥变量，这个东西就是用来防止病毒多次运行的，也就是病毒在一台电脑上只能激活一次。接着，拷贝自身到系统的 %windir%\System32、%appdata%、%sh (Startup)%、%sh (Common Startup)%目录中，还会释放一个勒索信息的配置文件Info.hta，并为它设置—个自启动项，如此就可以在用户重启电脑或者开机时弹出一个勒索界面，之后枚举系统的 Windows Driver Foundation、User mode Driver Framework、wudfsvc、Windows Update、wuauserv、Security Center、wscsvc、Windows Management、Instrumentation、Winmgmt、Diagnostic Service Host、WdiServiceHost、VMWare Tools、VMTools.Desktop、Window Manager Session Manager 服务和1c8.exe、1cv77.exe、outlook.exe、postgres.exe、mysqld-nt.exe、mysqld.exe、sqlserver.exe 进程, 如果发现这些服务和进程干扰了病毒的数据库文件就会发出终止指令。

然后，寻找电脑的高价值文件并对之进行加密（类似boot.ini、bootfont.bin、io.sys之类的文件就跳过)，加密后的文件的后缀变成.java，加密的密钥大小块为184字节，前32字节存放RC4加密后的随机数密钥, 该密钥用于之后加密文档。为了加强随机性，病毐通过RDTST函数读取时间计数器，最后通过RC4加密得到密钥。最后，病毒通过调用rundll32.exe或mshta.exe进程，执行勒索病毒的勒索信息文件Info.hta,弹出勒索界面。

需要注意的是，CrySiS勒索病毐的传播是通过RDP暴力破解的方式进行的，因此建议用户关闭系统的RDP服务。什么是RDP服务？它是远程桌面协议的英文缩写（Remote Desktop Protocol)，Windows 系统的标配功能，这个协议的主要用处是管理员可以远程操作管理用户的电脑，不过在人多数情况下普通人是用不到这个功能的。在实际生活中，开启RDP服务的电脑一般设置有账号和密码，CrySiS勒索病毒就通过暴力破解的方式猜出账号和密码，特别是那些常见的组合，很容易被破解，例如账号admin、密码admin等。

另外，CrySiS勒索病毐的变种还有本土化特征，也就是进行了多重免杀，以干扰杀毒软件的判断。不过，随着安全厂商对CrySiS勒索病毐的变种的重视，主流杀毐软件都能査杀此类病毒。

最后，要防范勒索病毒，要注意以下几点：关闭共享目录文件；及时给系统打补丁，修复系统漏洞； 不要点击来源不明的邮件以及附件； 保证杀毒软件的正常运行；对重要的数据文件定期进行非本地备份；尽量关闭不必要的文件共享权限以及关闭不必要的端口，例如445、135、139、3389等。

勒索病毒WannaCry具体感染加密哪些文件？

此次的敲诈者木马是一个名称为“WannaCry”的新家族。

该木马通过加密形式，锁定用户电脑里的txt、doc、ppt、xls等后缀名类型的文档，导致用户无法正常使用程序，从而进行勒索，要求用户提交赎金之后才解锁。

目前国内各大安全厂商均启东相关安全控件和补丁修复。

若不幸中毒切勿支付赎金，可联系安全厂商恢复您的数据。