紧急求助：朋友公司电脑中了 cryptowall 2.0 病毒，所有电子文件被加密。嫌犯要求 24 小时内支付 750 刀，否则加倍，到达一定时限就“撕票” ……第一个时限是 14 号（周五）下午 3 点半……… 希望有高人出手！感恩！

@XuanYuan twitter喇

人肉他打他一顿好了。这个方案最偏题了。

@BlueFly [你真特么搞笑],这句话你应该回家对你父母说！

尝试数据恢复，毕竟是加密后删除了文件，如果删除手法不够老道，是可以恢复的。
如果无法恢复，报警以保留证据，然后给打钱，解密就别想了，除非对方只是想逗你玩。

@xuwenmang 在这问题上居然能说到备案还只是智商的问题，无论怎么样的争议，都是你跟我之间的事，但是你居然又拉上讨论者父母，那就人品的问题，连起码人品都没有，垃圾！拉黑

@PP +1，正式如此

求曝光网站地址

@jason52 现在EQ，TF已经淡出了，主要是连win7都不兼容，所以差不多折腾ESS的hips.和comodo.当然Mcafee VSE也可编写规则，不过只能覆盖FD.RD.mcafee HIP可以覆盖到ND

@BlueFly 还真不知道idm有此妙用，其实主要是因为idm要加驱，所以无论什么软件几乎都可以分析出下载地址😁:)

重现the good wife情景。

不知道處理得如何了，都三點一刻了

还有 7 分钟，感觉宇宙要爆炸了。

还有2分钟 怎么办

还有2分钟 怎么办？！

等结果

到点了，坐等结果

现在 15:30 啦。

@BlueFly

你：你真特么搞笑
我：[你真特么搞笑],这句话你应该回家对你父母说！
你：你居然又拉上讨论者父母，那就人品的问题，连起码人品都没有，垃圾！拉黑

你真特么的搞笑，你的真特么的是什么意思？难道我误会了？你的真特么的不是说你父母？

@kiritoalex 是的，IDM是驱动层拦截。包括一些软件的自动更新也能拦截下来。当然任何下载请求都拦截都要确认也是挺烦人，这就要在安全和方便取舍了，并且也只是拦截，分析还得自己来，都确定都放行等于没有

@BlueFly 烦归烦，我觉得挺好～话说SSM似乎跟Win8之类不太兼容了？好久没用过了。。。现在只在虚拟机里装了。。。

到点了，问问后续？

@kiritoalex 以前XP时代，老毛子的SSM非常好用，光免费版功能足够强大。后来也用过其他，反而都找不到感觉。家用一直都不装杀软，公司机子（非IT企业）倒是都装个mcafee virusscan 企业版，当然只是D的 -__-

@wzxjohn SSM已经是老皇历，XP时代的事了，早就不更新了，N年前就已经停止开发，查了下，只支持到vista，更不要说7、8了。 不过认真说句，俄毛子技术的确牛B，话说当年功能非常的亮眼，后台运行什么，想加载什么，通通知道，那些捆绑软件通通显形。好多东西都是由它开启的，后来才涌现其他HIPS软件

Boom~!

@BlueFly 我就说最近找不到能用的了。。。唉。。。果然安全圈子更新挺快。。。现在有啥好用的推荐么？免费付费都可以。

楼主，快更啊，到点了啊！

@wzxjohn 现在不敢说，毕竟好久没用过，查了下，好多都停更了。果然comodo最耐操，不过我对它印象一般。 你可以看下这帖子，http://bbs.kafan.cn/thread-1779788-1-1.html

楼主，求结果啊~

@kiritoalex TF残念啊，用过一段时间，感觉还行。pctools可是DOS时代就牛B的软件，被大公司收购就轮为玩具、弃儿。我可是持有 pctools.cn ，就等赛门铁克收购…… (︶︹︺)

用mac没事了呗..

。。。。看楼上几个都要等哭了

@wzxjohn 那会刚出主动防御也是用SSM，现在64位驱动不能随便加载基本是没啥事情。

@BlueFly TF卡出翔，所以放弃了，我估计他本来的驱动就有些问题

@kiritoalex 没有吧，我倒是觉得TF略简单。

我建议楼主说说是怎么中招的，也好让大家有个防范。

忘了从什么时候开始一直裸奔 倒也是没碰到病毒神马的 不过这个作者也真是变态

哈哈，要不是朋友提醒还不知道这么多人等着知道结果……让我先保密一会儿。

btw，我其实是香港 version-2 大陆子公司第一批员工，早年混 kafan 的朋友应该知道这家公司是做什么的……

@XuanYuan 还有心情保密，看来问题是解决了

@XuanYuan 卧槽已经快成段子了！！！快别卖关子惹OAAQ

@XuanYuan 速度写个详细结果报告！！！

赶紧报告！！！！！

卧槽还保密，速度更新呀

@BlueFly 哈哈 我以前用mcafee企业版分析病毒，mcafee的日志很详细。

这玩意现在Android上也有
写起来也容易 然后伪装下叫个什么xxx免费版 破解版 一堆人下


PS：
LZ快更啊

@XuanYuan ESET？

坐等后续，强迫症急死了

@XuanYuan 是个软件代理商
看了下，目前有代理 ESET。
搜了下以前的，还有代理过 Outpost？

ransomware

@XuanYuan 借公司的车，但不是执行公务，如果再加上非工作时间，就肯定是个人全责了
@Elix 笔记本如果是在路上，不属于工作环境下使用，肯定是个人全责，而且笔记本意外险也不会赔。意外险理赔的前提是，公安局或其他权威机构出具判决书

已经更新啦！周一继续。

那封病毒邮件我周一提供，想中毒的朋友莫要着急哈！

我去，楼主太坑爹了啦。打钱没

这好流氓，要是我是公司老板，丢数据也不给你钱，怎么着？

@kmvan 你要是老板肯定不会这么说←_←

好吧 一开始以为是钓鱼贴 没想到还。。。

我还发过一个这个介绍这个病毒的帖子，只是看了介绍就觉得恐怖 当时就装了杀毒软件了

据说FBI联合好几个捣毁了一个，把CC服务器给端了 ： http://www.freebuf.com/news/35848.html 僵尸病毒网络Gameover Zeus被捣毁

但是恐怖的是这个软件编写的逻辑太智能了，不仅走Tor，就连不走Tor也是用算法生成的域名去连接。

http://www.v2ex.com/t/98049 其内部的链接会指向一些介绍

还努力啥，老实打钱吧………………

退一万步说，就算真有解决方案，人家也不会免费帮你这个忙啊………………

@cchange 刚看了一下，“会尝试删除卷影拷贝”，如果是Win7+UAC保护的情况下，理论上很难已删除。对于系统还原和卷阴影的操作都需要管理员权限。

那封邮件可以打印存证，但不可以转发。目前事件如何处理未有眉目，贵友与其公司冲突仍在，未经公司授权转发此邮件，岂非授人以柄。

@chenshaoju 但是大多数人的 UAC 都是默认级别，只要利用 UAC 白名单就能轻松过。更别提可能还存在一些地下黑魔法可以过 UAC 了，UAC 不是安全边界，被过了微软也不管。

@hx1997 我的是密码级的UAC，就算登录后，任何触发UAC的请求都会要求二次验证密码。有点类似于sudu。

@chenshaoju 只要是默认级别（系统程序不提示）就没用。所以我开的最高级和要求密码验证。

所以说，用ZFS每天对文件系统作快照备份才是王道

邮件来了，嗯。
想要链接的人，我才不给你们呢……那就成投毒了。 ^^

顶楼已更新进度！