首先下载360安全卫士
然后在我的电脑页面搜索文件WanaDecryptor
然后全选删除
还有一些显示已打开的
关闭勒索病毒页面
右键
用360删除
强制删除文件
然后下载
http://dl.360safe.com/recovery/RansomRecovery.exe
安装打开
选择驱动器
选择被需要恢复文件的盘
点开始扫描 全选 恢复即可
病毒原始文件分析
1.文件名称及大小
本次捕获到病毒样本文件三个,mssecsvc.exe、qeriuwjhrf、tasksche.exe,如图6所示,根据其md5校验值,tasksche.exe和qeriuwjhrf文件大小为3432KB,mssecsvc.exe大小为3636KB。
2.md5校验值
使用md5计算工具对以上三个文件进行md5值计算,其md5校验值分别如下:
tasksche.exe 8b2d830d0cf3ad16a547d5b23eca2c6e
mssecsvc.exe 854455f59776dc27d4934d8979fa7e86
qeriuwjhrf: 8b2d830d0cf3ad16a547d5b23eca2c6e
勒索软件病毒基本情况
3.查看病毒文件
(1)系统目录查看
文件一般位于系统盘下的windows目录,例如c:\windows\,通过命令提示符进入:
cd c:\windows\
dir /od /a *.exe
(2)全盘查找
dir /od /s /a tasksche.exe
dir /od /s /a mssecsvc.exe
4.病毒现象
(1)通过netstat –an命令查看网络连接,会发现网络不停的对外发送SYN_SENT包,如图7所示。
(2)病毒服务
通过Autoruns安全分析工具,可以看到在服务中存在“fmssecsvc2.0”服务名称,该文件的时间戳为2010年11月20日17:03分,如图8所示
病毒启动的服务
