t好像我们的域名计算机被rasomware感染了,把文件变成encryption的文件,以.crypted结尾。 很多文件已经改变,我们有备份。
同时,扫描真正的恶意软件/病毒/特洛伊目前还没有任何结果。 我没有扫描所有的电脑,但我注意到,已经改变的文件只在共享文件夹上。
我已经尝试了几个工具,因为我有原始文件(至less有一些)的副本,但我似乎无法解密它们。 至less还没有。
我想 – 但我可能是错的,也许只有一台能够访问所有这些共享文件夹的计算机实际上被感染了,并且它改变了这些文件名。 这可能吗 ? 我查过的电脑上没有findencryption的本地文件。
我如何检查? 有任何想法吗 ? 文件已经改为“filename.exe.NUMBER {[email protected]},我试着与地址进行沟通 – 一些知道代理商在哪里要求5000美元的人。
任何想法,将不胜感激。
我想 – 但我可能是错的,也许只有一台能够访问所有这些共享文件夹的计算机实际上被感染了,并且它改变了这些文件名。 这可能吗 ? 我查过的电脑上没有findencryption的本地文件。
是的,这很可能。 一台电脑就是共享文件夹。
但是,如果您不是100%确定(我的意思是100%!)计算机未被感染,您应该重新从头开始重新安装,并从最后一次已知的良好备份恢复。 这甚至可能包括您的DC和文件服务器。
我已经尝试了几个工具,因为我有原始文件(至less有一些)的副本,但我似乎无法解密它们。 至less还没有。
我真的不明白你的意思。 除了几个不pipe什么原因免费提供解密密钥的变体之外,你没有机会在没有支付赎金的情况下解密自己(如果你付钱,你将不得不希望一个已知的犯罪者尊重他的“单词”在付款后给你钥匙)。
我如何检查?
您需要从已知良好的引导介质中扫描每台连接到networking的计算机,并从那里运行病毒检查。 不要在正在运行的系统中扫描,这不是有效的。
任何一台已经被感染的计算机都可以encryption任何有写入权限的文件。 所以,共享文件夹可以由一台计算机encryption。
解密这些文件是非常不可能的。 您需要从备份中恢复它们。
但是,在从备份还原之前,您需要确保勒索软件不能再次访问这些文件。 有两件事你可以做:
您可以使用此方法查找含有勒索软件的计算机:
允许一次访问一台计算机的文件。 只要你findencryption文件,你知道最新的电脑最有可能有勒索软件。 然后,您可以从干净的备份恢复该计算机。
如果你没有备份,那么你的状态不好。 即使你付了罪犯的钱,他很可能也不会帮你解密这些文件。