他勒索我:他勒索我酱爆

　　被敲诈了！ 　　 　　公司最近接了笔大业务，所有人都很紧张忙碌。中午同事过来借用电脑，笔者正准备出去吃饭就答应了。谁知回来却发现所有的文档、报表，还有给客户演示产品资料的PPT文件全部消失了！
　　追问后才知道当时他打开的网页太多造成系统死机，重启之后发现自动弹出个文件，大意说硬盘资料受损必须修复。同事信以为真，按照提示运行了一个程序，结果就变成了这样。
　　果然，笔者重启电脑后，自动弹出了一个“ 拯救硬盘”的文本文件（图1）。文中说得挺蒙人的，但是怎么看都像是恶作剧，按照步骤做下去，就会弹出图2的提示。看到这个，笔者不怒反笑了，这个敲诈手段也太“弱”了点吧。
　　现在可以肯定的是系统已经中了病毒或是恶意程序了，先断开网络防止公司内部网络受到更大的破坏，再用杀毒软件全面扫描，结果却一无所获。
　　
　　原来是这样敲诈勒索的
　　
　　不过，笔者现在反而相信Office文档并没有被删除了，赶紧借用同事的电脑上网搜索。幸运的是，很快就查到了这就是才出现的“敲诈者”病毒，再以“敲诈者病毒”为关键字找到了更多信息。
　　原来木马程序名为r e d p l u s . e x e ，本身仅有200KB大小。根据搜索到的资料，笔者在C:WindowsSystem32下找到了它。又在系统根目录下又发现一个名为“控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D}”的奇怪东西。双击它能进入控制面板，好像是个快捷方式。但查看它的属性却发现是个文件夹，内含很多文件（图3）。
　　原来被删除的文件都在这里。“敲诈者”会将所有的Office、WPS文档以及压缩文件移动到这个文件夹中，利用其具有“只读、隐藏和系统”三重属性的特点隐藏文件，从而制造资料丢失的假象。
　　
　　收拾病毒，找回资料
　　
　　依据病毒特征，打开“控制面板”→“文件夹选项”→“查看”，去掉“隐藏受保护的操作系统文件”前的钩，否则无法看到上文提到的特殊文件夹。
　　进入系统根目录，把文件夹“ 控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”修改成其他名称。然后双击进去就可以看到所丢失的文件了。如果这些文件的属性也被修改，可以打开“命令提示符”，将路径设置到修改后的文件夹下，输入“attrib�r�h�s/s”（不含引号，每个扩展参数之间有空格），一次性将所有文件修改完毕。
　　提示 Attention
　　江民提供了“敲诈者”专杀工具，可以方便安全的恢复资料。下载地址：https://www.省略/download/jmfilerecover.exe
　　目前，瑞星、金山等杀毒软件在升级到最新病毒库后都能够检测、清除该木马程序。不过由于病毒作者已经在网络公开“敲诈者”的源代码，不断产生了危害更大的新变种，令用户找回资料更加困难。
　　为防患未然，笔者强烈建议大家千万不要随意运行不明程序，及时更新病毒库，经常浏览各大杀毒公司主页，继续关注其他变种的消息及防杀措施。
　　本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。 本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文