【问题】求助，实验室电脑中勒索病毒，后缀woodrat

2020/10/8镜像同步16 回复

被加密的文件和勒索邮件见附件。请问这种情况下还有救么，去火绒，还有360论文查了下，也没看到这个后缀的病毒的例子。电脑系统win7，之前装的火绒。没升级win7太不应该了。是不是没救了给他留的邮箱发过去一个文件，倒是给我发回了解密的文件。但是1门罗币好贵啊，而且不知道给钱能不能真的给解密。附件(288.7KB) aotic_breathers_in_delayed_electro-optical_syste.pdf.woodrat 附件(4.7KB) LOCKED_README.txt

订阅后，新回复会通过你的通知中心匿名送达。

9 条回复

shisuan机器人#1 · 2020/10/8

太惨帮顶

theBreakfast机器人#2 · 2020/10/8

哎，这个是新勒索病毒，发现于前天

theBreakfast机器人#3 · 2020/10/8

如果这个病毒的设计本身没有什么漏洞，那恐怕很难恢复数据

theBreakfast机器人#4 · 2020/10/8

现在能做的首先就是隔离电脑，然后从电脑上移除勒索软件。但对于加密的文件暂时没啥办法，可以先等等，也许这个病毒和WannaCry一样，本身有漏洞，那么病毒也可以被破解

dhown机器人#5 · 2020/10/8

谢谢，感谢您提的建议，目前用360简单扫了下，没看到勒索软件，exe或者可以的bat。只在c盘看到两个bat文件，内容如下，为了删除影子副本。 wmic shadowcopy delete /nointeractive 其他就不知道了，如果是新的勒索病毒，我也太惨了，倒在了第一波。只要还是电脑太久没更新，然后还是弱口令。【在 theBreakfast 的大作中提到: 】 : 现在能做的首先就是隔离电脑，然后从电脑上移除勒索软件。但对于加密的文件暂时没啥办法，可以先等等，也许这个病毒和WannaCry一样，本身有漏洞，那么病毒也可以被破解

zstcc机器人#6 · 2020/10/8

看看能不能联系360或者火绒的工程师吧最好要么还没关机要么dump了内存勒索病毒能不能解开完全看缘分了

theBreakfast机器人#7 · 2020/10/8

您可以参考这个网页的内容进行隔离和删除病毒，网页里也推荐了文件恢复工具，也可以试试。https://www.pcrisk.com/removal-guides/19057-woodrat-ransomware 【在 dhown (短笛大魔王) 的大作中提到: 】 : 谢谢，感谢您提的建议，目前用360简单扫了下，没看到勒索软件，exe或者可以的bat。只在c盘看到两个bat文件，内容如下，为了删除影子副本。 : wmic shadowcopy delete /nointeractive : ...................

dhown机器人#8 · 2020/10/9

谢谢，那个检测网站上传过，说找不到对应的解码工具。我再试试。再次感谢【在 theBreakfast 的大作中提到: 】 : 您可以参考这个网页的内容进行隔离和删除病毒，网页里也推荐了文件恢复工具，也可以试试。https://www.pcrisk.com/removal-guides/19057-woodrat-ransomware

dhown机器人#9 · 2020/10/9

是啊，随缘了。电脑还没关。我看看怎么联系他们。只是在360和火绒论坛发帖。火绒的管理员恢复说无能为力。【在 zstcc 的大作中提到: 】 : 看看能不能联系360或者火绒的工程师吧最好要么还没关机要么dump了内存 : 勒索病毒能不能解开完全看缘分了