普通人中了勒索病毒紧急自救偏方！

前几天逛知乎，看见一个说法：普通人的电脑几乎不会被黑，因为没有入侵价值。对于这个说法，我表示部分赞同。

跟企业的服务器相比，个人电脑的攻击价值确实不值一提，但，蚊子虽小也是肉啊！

早些时候，网络攻击者拿下一台普通人的电脑，确实搞不来几个钱，常见的做法是在里头安装各种第三方的软件全家桶，或是劫持浏览器点击小广告挣点广告费，要么是拿来当肉鸡。比特币带火了数字货币以后，黑客也开始“借用”受害者的电脑算力来挖币，这种在网吧比较常见，因为网吧电脑常年开着机，显卡又好，网管说话又好听，个个都是人才。

但总体来说，单台肉鸡收益不高，得靠数量取胜。然鹅，勒索病毒的出现让蚊子肉有了新的烹饪方法，普通人的攻击价值陡然提升。黑客从此不需要提前知道受害者的身份，或是电脑里有没有高价值的东西，直接黑进去，文件全锁上，然后坐等收赎金就完事儿了。

受害者也许是个HR，大量公司简历被加密；也许是个设计师，刚改完的最后一版没了；也是个律师，几份紧急的案子文件被锁；也许是个学生，毕业论文刚写完；或者，也许就只是个普通宅男，硬盘里几个T的小姐姐挥一挥衣袖，不带走一篇云彩 … … 幸福千篇一律，一千个人却有一千种悲剧。

可以说，勒索病毒以一己之力拉高了普通老百姓电脑被黑的概率。这不，前阵子我刚写了一篇讲勒索病毒团伙的文章，没过多久就有人表示身边有朋友中了勒索。（看来我的乌鸦嘴非常奏效，正在看文的你要小心了）。

在这位朋友默哀的同时，我也想到了自己，以及千千万万个吃瓜网友们。作为普通人，我们在遇到勒索病毒之后，第一时间做什么才能控制损失甚至自救？我翻了翻资料，请教了几个身边有经验的老司机，再结合自身生活经验，总结出这套勒索病毒自救偏方，在此分享给大家。

首先，现在让我们一起代入场景。某天，你正开开心心地玩电脑，屏幕上忽然弹出一个奇怪的窗口，上面显示一堆看不太懂的英文，以及一个诡异的小锁?或者倒计时。恭喜你，中招了。

一般情况，桌面还会弹出一个 txt 文本。

来自远方的勒索者送来一封亲切的问候信，给了你狠狠一巴掌。请问，此时你该如何应对？

A.蒙上自己双眼假装看不见，或者捂住耳朵大喊我不听我不听

B.吃包辣条冷静一下，仔细阅读勒索信并静静欣赏信里的文采

C.断网

读书时的经验告诉我们，两长一短选最短，所以答案是C。

有网线就直接拔网线，没网线则断开WiFi，保持冷静，如果此时你周围还有同事或者朋友正在上网，悄咪咪看一下他们的电脑是否也出了问题。许多勒索病毒具有横向传播功能，就像是感冒病毒一样传染给局域网里的其他电脑，早断网一秒，亲人少流一行泪，如果整个办公室都因为你而中招，那么勒索你的就不再只有黑客，还有你的同事和老板。

保留犯罪现场

如果还想找回被加密的文件，尽量让现场保持原样。不要指望重装系统就能好，有些勒索病毒的解密需要根据你电脑的一些软硬件信息（比如注册表信息）来生成密钥，一旦这些信息被破坏，很可能永远都无法解密，交了钱也没辙。

最好也不要重启电脑或关机。这是网络勒索，网管的那套“万能重启大法”在此并不好使，还可能弄巧成拙，因为电脑内存里很可能留有用来解密的线索，专业人士可以拿来破案，一旦关机断电就会被清空。在这方面警察蜀黍办案的流程就值得学习，在第一时间保留线索和作案现场，方便日后回溯线索和破案。

保留好现场，下面我们就可以进入自救环节。 到这一步，重要文件应该已经变成了加密状态，就像这个亚子。

勒索病毒千千万，你得知道自己中了哪一卦。怎么办？

收集病毒特征

仔细回想一下，在中毒的前一刻，自己是不是上了什么不该上的网站，打开了什么不该打开的文件？看了什么不该看的东西？是不是有 FBI warning过你？如果你真的什么也没做，那也有可能是跟你同在一个局域网里的同事干的，当然，他有可能并不会承认，你不妨抽出皮带拷问他一下。

总之，能直接找到病毒样本是最好。

观察被加密的文件的后缀名，不同勒索病毒的后缀不一样，一般通过后缀名就能大致判断种类。比如 GlobeImposter 勒索病毒的常用后缀是：auchentoshan、动物名+4444，而 WannaCry 勒索病毒的后缀名是 wncry。怎么判断呢？上网搜呗，度娘谷歌都行，就像这样：

也有些自信心爆棚的病毒会在勒索信自报家门，比如下面这个。

总之，观察勒索信里信外，看有没有透露能判断勒索软件的标志。如果以上都没法确定病毒种类，记下勒索信的文件路径、具体内容、信里提及的所有网址、邮箱地址等等，这些都可以留作判断依据，具体怎么用后面会讲。

自助解密

正所谓求人不如求己，即便你是个电脑小白，也有一定概率直接找到解密工具。全世界的安全公司都在努力对抗勒索病毒，其中很多公司都推出了的勒索病毒免费解密工具聚合网站。

比如卡巴斯基的：https://noransom.kaspersky.com/

奥地利知名杀软 Emsisoft 的：https://www.emsisoft.com/decrypter/

知名安全研究团队 malwareteam 的：https://id-ransomware.malwarehunterteam.com/

360的：https://lesuobingdu.360.cn/

Avast 的：https://www.avast.com/zh-cn/ransomware-decryption-tools

也有一些非商业公司成立的勒索解密网站，比如著名的 Nomoreransom 勒索软件解密工具集，这是由各国警方和几家著名的网络公司联合发布的“公益救助”网站：https://www.nomoreransom.org/zh/decryption-tools.html

这些网站的基本流程都差不多：上传病毒样本、被加密的文件、勒索信全文或是信里的邮件地址等信息，它就能自动帮你分辨是哪一款勒索软件。

如果是目前已经被攻破的勒索软件，恭喜你，网站会提供对应的解密工具和详细的使用说明。（很多外国网站和说明书都是纯英文的，这里推荐英文不太好的朋友用“彩云小译”，上面那几张截图就是用它翻译的，炒鸡好用，这是幺哥的良心推荐）

 如果通过这些方法依然没找到解密工具，甚至都没法分辨出勒索软件的种类，下一步就该拨打场外求助热线了。

场外求助

你可以去一些技术研究或者安全论坛叫银。

像“吾爱破解论坛”、“卡饭论坛”之类的，以及各大网络安全公司的官方论坛，比如“卡卡安全论坛”、“火绒论坛”、360社区等等（这里只是说几个例子，还有别的好去处可以在留言区推荐），找到相应版块，招呼网友和管理员。

遇到危险大喊救命并不丢人，也不要觉得这是无谓的求助，正所谓“大隐隐于市，高手在民间”，技术大神经常隐藏在群众灌水的队伍里。网上有过不少通过论坛求助成功解密的案例。据幺哥了解，只要你会用小学生文明礼貌用语，很多论坛管理员还是会回应的。

火绒论坛的管理员回复

瑞星卡卡安全论坛的管理员回复

通过场外求助最终解密的例子也不少。比如前阵子吾爱破解论坛的用户在四处求助无门后，顺手去瑞星的“卡卡安全论坛”发了个求助帖，没想到管理员很快就过来帮忙，最终成功解密，省下价值几台iPhone的赎金。（就是上图的那个案例）

如果实在没办法，你也可以在网上找到一些安全研究员的私人公众号，或是安全公司的公众号求助。比如我上篇讲勒索的文章里提到的深信服千里目实验室朋友王正，就开了个公众号：安全分析与研究，遇到勒索病毒实在没办法可以去找这位老司机带路。（上面那些自助解密工具链接其实也是他帮忙整理的）

万不得已，你还可以求助万能的淘宝。在淘宝上搜索“勒索病毒解密”，你会发现上面有一大票店家。

这算是个求助途径，但哥并不是很推荐，毕竟是收费的。而且，淘宝上帮人解密的店铺，其实大部分用的也是网上公开的解密工具。从逻辑上来讲，正牌安全公司代表着这颗星球最强的反勒索实力，但凡某款勒索病毒被安全公司攻破，通常会昭告天下：“XXXX公司率先攻破XXXX”，就像这样：

然后相应的解密工具就会同步到各大反勒索网站。淘宝店主不是太可能掌握某种特殊的解密技巧。不过，如果你觉得自己上网求助、找工具麻烦，或者担心自己手抖误操作，也不妨出点小钱让他们代劳，前提是价格厚道。同时哥也要提醒一句说，最好找信誉较高的店，否则先被勒索再被骗，可能会怀疑人生。

 找勒索者唠嗑

 除了求助第三方，你其实也可以直接联系一下勒索者，勒索信里通常有联系方式。编一段声泪俱下的故事，砍砍价，或是告诉对方自己正在想办法准备赎金，但是没有购买虚拟币的经验，需要一些时间学习和开户，试试看能不能延期付款。

网友clg808发邮件吐槽赎金太贵

 万一勒索者心情好，给你个折扣什么或者延期，甚至被你的真诚和人生哲学所打动，改邪归正，也不是没可能，虽然概率有点小。顺道说一个小操作：通常情况，勒索病毒作者为了证明自己有能力解密，会给一次测试解密的机会，比如允许你发给他三个文件，免费帮你解密。

如果你被加密的文件里，有一些需要紧急使用的非机密文件（比如刚写完的稿子），不妨直接发给勒索者让他解密。

交钱还是死磕

勒索者不会留给你太多时间，大部分勒索病毒都会带一个倒计时，比如超过24小时赎金翻倍，超过三天就撕票，永远无法解密。所以其实最重要的是，你必须做好自救失败的打算。如果被勒索的文件真的非常重要，请提前准备好一笔赎金，最后关头也许用得上。虽然交赎金意味着助长勒索之风，但也是无奈之举。 

前几天《纽约时报》有则新闻，讲美国有225位市长联名支持一项不给黑客支付赎金的决议，表面听起来非常振奋人心，可问题来了，等到黑客真的锁死医院、发电厂、政府，整个城市陷入瘫痪，这些市长真的能顶住不支付赎金？

幺哥的个人观点是，支付赎金这件事没有绝对，如果被锁住的文件关系重大，还是得做好两手准，与其中了勒索病毒再死撑着不交赎金然后自己吃亏，倒不如吃一堑长一智，做好防备，争取以后不被勒索。

如果你被勒索的文件既不重要也不紧急，倒也不妨下定决心死磕，兴许过一段时间安全公司就会找出解密方法。不过，这个期限可能是一个月，也可能是一年，甚至十年，就跟中彩票似的。研究员王正告诉我，就像 Globelmposter、CrySiS 两款勒索新的变种，已经有一年多了，至今还没有发布相关解密工具。总之，看命。

其实最稳妥的方法还是第一时间联系专业的安全公司，不过，我问了几个朋友，他们说安全公司通常只对公司，对个人的话，难说。当然，如果你不缺钱，就不难说了。

总结

说了这么多，哥还是希望大家运气好点，别中勒索。之前看到一则新闻，讲国外有安全公司专门收钱摆平勒索，收费很高，每次都能解开，后来被发现居然是收了客户的钱之后，暗地里去给勒索团伙交赎金拿密钥，自己坐当中间商赚差价。

说实话，这也不能全怪安全公司，毕竟反网络勒索最好的方法还是防患于未然，而不是亡羊补牢，掏钱找安全公司，除了摆平当下遇到的事，更大的意义在于防止未来再踩同样的坑。勒索病毒这事儿未来一定会越来越多，一个很重要的原因是肉身太难抓。

 这个逻辑和电信诈骗难打击一样，犯罪分子肉身藏在国外，存在跨境执法困难的问题。 有时候我就心想，这样下去会不会产生一个奇特的现象：A国的团伙勒索B国的人民，B国的团伙勒索A国的人民，两边罪犯都难抓，但两边的人民都遭罪。我把这种现象称之为“共轭勒索”。

 在这种情况下，作为普通吃瓜群众，除了自保，也没有什么办法。最后，希望大家平时不乱点文件，不乱看不该看的东西，上正规的网站，养成备份重要文件的习惯，或者干脆用同步云盘，实时同步重要文件。