马上就要走了,电脑却中勒索病毒。这个冬天不太平啊。
中毒
1日晚,四处找DevWing的破解文件。其实这也不是很必要,毕竟平时用Profili和WingHelper就够用了,但出于对这破解这软件的好奇(小学时的习惯),还是去找了。结果疏忽大意,来了一堆作死操作。先是从来历不明的网站下载文件,再是不检查文件大小、名称、md5,还忽略杀软报毒,解压出来。其实当从不同地方下载到同一个大小为710MB的文件时,事情已经有些蹊跷了。可惜当时太轻信,犹豫一会,还是运行了。这下可好,马上就气得拍大腿了。全盘文件加密(变成扩展名为erop的文件),删除系统还原点,给系统盘挂马,遍地都是勒索信。这时杀毒软件什么的已经没用了(还可能进一步破坏文件),只能重装系统了。
我马上断网,关机(运气好,没遇上wannacry那种病毒,对大多数病毒而言,开机没准才能减小损失),趁刚开始时还能保持冷静,赶快上网查方法。交钱是不可能的——没准是单向加密,做病毒的人还不一定有写解密工具的信用呢。
勒索病毒自救手册 应对方法,强烈建议一看 老外写的针对erop的教程,也靠谱 手动数据恢复 解密工具库
重启到Linux下,查看文件情况。仔细翻翻,发现不幸中的万幸——部分没有备份的文件还没来得及被加密。用空盘备份出来,把被加密的数据打包备份出来。将在Win下插过电脑的盘全都格掉再插到其他电脑上。重要的是不让病毒运行和传播。不过好像这病毒还比较给面子,只往系统盘里感染。加密也似乎是逐层加密,先加密根目录下的文件,再逐层向下。因此,藏得深的文件可能保留下来(特别是我那巨大而混乱的下载文件夹还可能拖了些时间……)。第一次因为电脑性能差而因祸得福。
看网上对它的分析,病毒的原理是先加密再删除原文件,该删除过程并非擦除,数据恢复也有希望。于是用PhotoRec扫硬盘,扫出22G文件,可惜大多都是没用的聊天缓存和回收站中的文件(还浪费我一天时间翻了3W个文件)。至于加密的文件,用解密软件也没能解密。没有密钥。悲。
用tree命令把文件名做个索引,把硬盘格掉,重做系统,花了两天时间整理文件和装软件,最后改了一圈密码,因为种马之后,账号肯定被盗了。寒假作业要重写了。
总结一下
• 运行exe之前三思,特别是晚上。不要信网页上写的内容,也不要信文件名,特别是模棱两可的名字。校验md5,放进虚拟机,想想下到的文件和正常的文件有没有区别(大小、名字……),打开杀软的文件夹保护(防止对文件的批量读写),确定没问题了再运行。
• 遇事一定要冷静。千万不能掉进病毒想要营造的焦虑气氛中。
• 断网
• 关机(看病毒种类,有的病毒关机就没救了)
• 进安全模式或Linux或PE操作,确保病毒不运行(Linux比较保险)
• 拷文件,格盘以防再次感染。加密后的erop文件是无害的,主要是系统盘。备份时头脑要清晰,不要误删文件。
• 看修改日期,将有过操作的文件全删掉
• 尝试数据恢复,但不要运行包括但不限于exe的可执行文件
• 把密码都改掉。
• 杀软里把文件夹读写保护打开。
意识先行,做事前要多想,不要依赖用了这么多年电脑的惯性思维。
反思
近来身体一直不好,常有疲乏之感。差的精神状态导致精力不集中,精力不集中又导致犯错,犯错导致压力更大,心态更差。这是个恶性循环。系统的弱点是人,而自己学了这么多年,最不会面对的也是人,特别是自己。这也是讽刺的一点。技术不能改变这些。
不由想起《流浪地球2》里的那句话:人类把最精密的保密系统,都用在了自我毁灭上。
全过程万幸的一点,是主要存放数据的硬盘没有插在电脑上,电脑上的文件里,只有网上下载的文件和最近做的事没有备份。勤加备份(比如每月一次),是好习惯。不能指望别人来救急,只能自己提前做好准备。
在格式化硬盘的时候,又想,这些数据又有价值、有意义么。尽管说数据无价,但,从来不看的数据,又有啥意义呢。在信息过载的时代,静下心来看东西变得难得。下载的东西很多,但没怎么认真看过。这种心境也造成了生活的困难。可能这就是所谓“不会活”“不会学习”罢。要警惕数码时代的这种“消费代替学习,持有代替努力”的思维。
罢了,赶快补作业罢。学不完了。