紧急求助：朋友公司电脑中了 cryptowall 2.0 病毒，所有电子文件被加密。嫌犯要求 24 小时内支付 750 刀，否则加倍，到达一定时限就“撕票” ……第一个时限是 14 号（周五）下午 3 点半……… 希望有高人出手！感恩！

@vibbow 破不了的，即使你用超算。。。

影音文件都不放过,看来加密效率提高了.

我就说了 一部分的中石化办公系统是IBM的lotus+趋势科技

付钱什么都好 用什么360 金山

如果是公司电脑（在前述局域网内）中招，我认为只要是公事就应该公司负责，因为禁止安装软件，自己想运用有效手段防护也不行，所有安全事务其实都应该由公司负责

既然连软件也不让装，不让拷贝，却没有对非公事的邮件拦截就奇怪了

@kiritoalex 不逛，因为这是在卡饭论坛出来之前的兴趣，那时候，上报新病毒是有奖励的，所以各式品牌正版杀软一大堆，金山除了杀软，还可以拿金山全线产品正版Key，而趋势是积分制，1分相当于2元，能兑换对应价值的任意电子产品（参考太平洋上海报价），兑换了当时约1300元的产品。乐此不疲搜刮新样本，实机检测（那时代内存金贵，512内存已经不错了，跑虚拟机实在不行），并手工清除之。

@exploreexe HIPS是个大类，单纯行为分析的并没有多少规则。 在以前，IDM+SSM，再加个注册表快照工具，简直是病毒分析神器组合，无论什么病毒，从哪里来，怎么运行的，会调用啥东西，会生成什么文件，注册表修改了什么键值，都清清楚楚。要手工清除还不是秒秒钟的事

@BlueFly 那么对于楼主这种“点了一下邮件链接”就中毒的事，应该怎么防范？
另外IDM是什么。。。。我只知道下载工具那个IDM

@chenshaoju 陈少举？我好像在哪里见过你……

仅仅是挂马这么简单就中招了么？能否找出链接啊。很好奇啊.

@XuanYuan
1. 100% IT 部门责任, 员工只是出售专业技能和劳动力而已, 防范病毒不在专业技能之列. IT 部门经理应该担责任, 扣奖金.
2. 推荐出钱, 但要有技巧, 比如, 必须要求先恢复一小部分, 以证明他有能力恢复, 然后再付全款.

@XuanYuan 对，我到处都是。。。

不过你这个问题基本无解，如果是点击一个网址，没有下载任何东西（简单地说，是通过IE漏洞），那么应该是IT部门的问题。

如果计算机上IT部门没有部署安全软件，或者安全软件没有动作，那么也是IT部门的问题。

如果操作人员将安全软件禁用了，那么肯定就是操作人员的问题了。

以后还是多用正版软件了。。。不然还得花更多的钱。。。

他们没备案，要是有域名/网站备案，早就抓到这些不法分子了。。

@dangge 就是下载工具IDM，重点是IDM是完全集成到系统，任何下载请求都被IDM接管。所谓网页木马就是在网页中插入不良代码，利用IE漏洞偷偷下载某类型文档，包括exe/com/scr可执行文件并偷偷运行，IDM就可以拦截，比如你打开v2ex，又没下载，突然IDM弹出一个下载框，而且地址是用IP或者其他域名的，你也知道有鬼吧。挂马盛行时候，不少中型站都被挂马过，太平洋某地方报价都有，当年特意围观收集木马。只不过这些中型站有人维护更进，维持时间很短，属于秒杀手快有，去晚了就没木马了 -_- 用IDM的好处是可以偷懒，不用特意翻看网页源代码查找木马下载地址。当然IDM有文件类型限制，比如以前某个IE漏洞，CSS文档能被系统错误执行，于是木马会伪装为CSS文件，实质仍是可执行文件。如果跳过了IDM，那就由HIPS后端防护了，比如你浏览一个网站，突然跳出一个运行请求，且路径是%temp%临时目录，你怎么也警惕了，当然前提你得懂系统，一旦全部放行，等于没有防护。

看来是给钱也不一定能解锁呀，还是让公司IT解决吧，这个和员工无关。

还有一个多小时了,给钱了吗?

@chenshaoju 那我们应该是在某个论坛里面见过，哈哈，以前用的 ID 是“轩辕一笑”

@xuwenmang 域名备案……你问下 V2ex 有多少愿意备？

@dangge IDM已经可以拦截大部分的未知下载请教了。网页挂马是概率游戏，利用的都是浏览器的漏洞，浏览器漏洞防不胜防，并不是你用某某浏览器安然无事，由于网络环境的复杂性，这些诱导网页，有可以一打开就被关闭（例如弹窗），为了最大化利用，这些网页通常会首先嵌入一种叫木马下载器的网页木马，大小只得50KB左右，保证最差的网络，即使一打开就被关闭的网页也能加载成功。然后木马下载器再后台慢慢下载真正的木马。 这些木马下载器通常直接就是可执行文件，IDM都能拦截下来，已经降低不少机率。

@BlueFly 哇，hips专区，你记得有个叫竹节大将军，有个 安静的可怕的 规则不。 那时是启蒙啊

@xuwenmang 你真特么搞笑！ 告诉你，很多中型网站都被挂过马，太平洋地方报价也一样中过招，把太平洋抓了？ 知道攻击不，跨站攻击，特别是使用国内Windows全能空间，一个站中招就连累一大片邻居，有很多博主博客挂马十多天都不知道，自己不知道，访客也不知道。