昨天給筆記本裝了 windows server 2016 操作系統,配置的差不多之后,想使用注冊機激活系統。使用了幾個本地以前下載的注冊機激活失敗后,嘗試上網搜索。
於是找到下面這個網站(這個網站下載的注冊機是勒索病毒,千萬不要在這里下載)
下載的注冊機運行后,電腦自帶的defender提醒危險,我心想注冊機提示危險也正常,直接給關了,由於剛裝系統,電腦還沒裝360等殺毒軟件。注冊機運行后,自動啟動cmd,執行時間明顯比以前用的注冊機時間長。
右下角彈出一個帶進度條的 windows update 彈窗,提醒我需要更新系統,期間不要關閉電腦,我尋思激活系統還需要更新?有點懷疑但還是沒關閉。(其實病毒已經開始加密文件了)
https://www.freebuf.com/column/200907.html
期間自動打開瀏覽器,進入了一個色情游戲(到這里我又感覺有點不對了,但是沒有足夠重視),由於游戲是英文的,我隨便點了點不會玩就關了。
右下角進度大概到了百分之二十多,時間大約過去十幾分鍾,我實在不想等了,想着網上買個激活碼也就十幾塊錢,不折騰了,於是我嘗試彈出移動硬盤(之前的注冊機在硬盤里,真是后悔當時插着硬盤,還好重啟的早,硬盤文件損失較小),提示文件占用,於是我直接拔了硬盤線,電腦彈出提示,好像是硬盤里一個文件修改失敗了(其實病毒開始加密我的硬盤文件了,此時電腦所有硬盤文件已被加密),我有點納悶,怎么提示這個?!然后我直接把電腦重啟了。在這期間,我去某寶買了個激活碼,十幾塊錢,馬上到貨。
開機之后我使用買的激活碼激活系統,但是激活失敗,拍照給商家,商家說是使用過kms,只能通過電話激活或者重裝系統,我說我重裝吧(反正剛重裝的,還windows update了亂七八糟的補丁),於是去電腦里找之前用的系統iso,發現文件后綴都變成了.nppp
當時感覺后背發涼,但還是不敢想太多,把后綴改回來,但是改回來也打不開。把其他文件后綴改回來也無法正常打開,文本文件打開后是亂碼!於是我拍照問商家,商家說不知道,我想了想可能是勒索病毒(哎,當時真是心里咯噔一下),想起之前插着移動硬盤,更是心涼了半截,用另外一台電腦打開移動硬盤,根目錄多了個_readme.txt,打開后,發現果然是勒索病毒。
多打開幾個文件夾,發現有點被加密了,有的沒有加密,目錄少於三、四層的都被加密,超過的沒有被加密,還好我硬盤文件多,有份文件夾習慣,大多重要文件所在路徑層數較深,逃過加密的命運,由此可見這個加密病毒是按文件夾廣度遍歷的。
我下載360衛士,申訴了勒索病毒解密服務,然后用360解密大師嘗試揭秘,失敗!去360社區反應,加360勒索病毒服務群,都沒有解決。使用360網站檢測加密文件,說是stopV2勒索病毒,目前無法解密。
去國外網站查.nppp,找到了相關解密網站,下載解密軟件,解密失敗,說是使用的線上密碼,無法解密。
網站說這個病毒比較新,今年2月開始大量流行。網站還說不要灰心,以前大部分病毒都被解密,可以先備份文件,等以后除了解密工具再解密。
https://sensorstechforum.com/nppp-virus-file-remove/
網站最后提到一款文件恢復軟件可能有用,但是我下載后發現也沒用,還要收費
第二天 360通過qq聯系了我,告知這個病毒目前無法解密,還給了我建議,這點360做挺好,對用戶負責。
最后,我把加密的文件備份了,打算重裝系統。
另外我發現了這個病毒的一點特性,有些文件夾、文件不會被加密
文件夾:
Intel、Log、PerfLogs、Program Files、Program Files (x86)、ProgramData、Windows、Windows.old、Games
(沒想到這個病毒還會規避游戲文件夾,難道是對廢宅的關愛???)
文件:
沒有后綴的文件、.dll
上網查了一下,許多勒索病毒對 C:\Windows、Program Files、Program Files (x86) 也不加密。原因大概是避免系統不能用、提高加密效率。
所以防御勒索病毒的一個簡單的方法是把重要文件放到上面幾個名稱的文件夾下。
通過這次經歷,感受到了病毒的可怕,以后要提高警惕,不能隨便下載運行程序,不能隨便關閉殺毒軟件了!!!