昨天给笔记本装了 windows server 2016 操作系统,配置的差不多之后,想使用注册机激活系统。使用了几个本地以前下载的注册机激活失败后,尝试上网搜索。
于是找到下面这个网站(这个网站下载的注册机是勒索病毒,千万不要在这里下载)
下载的注册机运行后,电脑自带的defender提醒危险,我心想注册机提示危险也正常,直接给关了,由于刚装系统,电脑还没装360等杀毒软件。注册机运行后,自动启动cmd,执行时间明显比以前用的注册机时间长。
右下角弹出一个带进度条的 windows update 弹窗,提醒我需要更新系统,期间不要关闭电脑,我寻思激活系统还需要更新?有点怀疑但还是没关闭。(其实病毒已经开始加密文件了)
https://www.freebuf.com/column/200907.html
期间自动打开浏览器,进入了一个色情游戏(到这里我又感觉有点不对了,但是没有足够重视),由于游戏是英文的,我随便点了点不会玩就关了。
右下角进度大概到了百分之二十多,时间大约过去十几分钟,我实在不想等了,想着网上买个激活码也就十几块钱,不折腾了,于是我尝试弹出移动硬盘(之前的注册机在硬盘里,真是后悔当时插着硬盘,还好重启的早,硬盘文件损失较小),提示文件占用,于是我直接拔了硬盘线,电脑弹出提示,好像是硬盘里一个文件修改失败了(其实病毒开始加密我的硬盘文件了,此时电脑所有硬盘文件已被加密),我有点纳闷,怎么提示这个?!然后我直接把电脑重启了。在这期间,我去某宝买了个激活码,十几块钱,马上到货。
开机之后我使用买的激活码激活系统,但是激活失败,拍照给商家,商家说是使用过kms,只能通过电话激活或者重装系统,我说我重装吧(反正刚重装的,还windows update了乱七八糟的补丁),于是去电脑里找之前用的系统iso,发现文件后缀都变成了.nppp
当时感觉后背发凉,但还是不敢想太多,把后缀改回来,但是改回来也打不开。把其他文件后缀改回来也无法正常打开,文本文件打开后是乱码!于是我拍照问商家,商家说不知道,我想了想可能是勒索病毒(哎,当时真是心里咯噔一下),想起之前插着移动硬盘,更是心凉了半截,用另外一台电脑打开移动硬盘,根目录多了个_readme.txt,打开后,发现果然是勒索病毒。
多打开几个文件夹,发现有点被加密了,有的没有加密,目录少于三、四层的都被加密,超过的没有被加密,还好我硬盘文件多,有份文件夹习惯,大多重要文件所在路径层数较深,逃过加密的命运,由此可见这个加密病毒是按文件夹广度遍历的。
我下载360卫士,申诉了勒索病毒解密服务,然后用360解密大师尝试揭秘,失败!去360社区反应,加360勒索病毒服务群,都没有解决。使用360网站检测加密文件,说是stopV2勒索病毒,目前无法解密。
https://lesuobingdu.360.cn/
去国外网站查.nppp,找到了相关解密网站,下载解密软件,解密失败,说是使用的线上密码,无法解密。
网站说这个病毒比较新,今年2月开始大量流行。网站还说不要灰心,以前大部分病毒都被解密,可以先备份文件,等以后除了解密工具再解密。
https://sensorstechforum.com/nppp-virus-file-remove/
网站最后提到一款文件恢复软件可能有用,但是我下载后发现也没用,还要收费