本文及资源最后更新时间 2022-02-22 by sky995
目前敲竹杠勒索木马一共2类,主要现象都是阻止用户正常进入系统/破坏硬盘文件,并引导添加勒索者QQ继而勒索钱财。
1. 篡改Windows登录密码,并在开机界面提示受害用户联系一个QQ号获取密码
2. 开机黑屏!木马直接破坏硬盘MBR、分区表,开机显示+QQ或特殊图案和勒索ID识别码
(感染该类木马即使进入PE下,分区也可能不显示,此种情况先不要急于重新分区或重装系统,否则可能导致无法修复成功)
解决方案
第一类修改Windows密码的情况,提供2种解决办法
方案一:
登陆“360敲竹杠木马开机密码找回”页面,输入对方留下的联系QQ号码(勒索者QQ),自助找回密码(如果没搜到密码请看方法二)
http://fuwu.360.cn/chaxun/qq
方案二:
直接进入PE,运行密码清除工具,直接清除原账户Windows密码(简单粗暴,无副作用)
提供3个PE清除Windows密码工具,PE直接运行下面任1工具(清除密码方法大同小异,下面以其中一款举例)
点我下载
1. 选择原系统所在分区的Windows目录(Windows\System32\config\SAM为保存密码的数据库)
2. 软件会自动识别系统中存在的账户,更改口令/密码后重启电脑即可正常开机
3. 进入系统后推荐使用360安全卫士或360系统急救箱全盘查杀,清除残留木马
第二类破坏MBR、分区表的敲竹杠修复方案
1. 使用其他正常电脑下载下面2个修复工具,并解压到PE所在U盘
FixRansomMbr修复工具(点我下载)
360系统急救箱PE版(点我下载)根据PE版本下载对应位数
2. 进入PE下先运行FixRansomMbr,软件会自动查找并修复MBR和恢复被木马删除的分区
修复完成后重新进入PE(这一步先不要直接进系统,否则部分添加启动项的木马会重新激活)
或PE下直接刷新磁盘确认分区是否恢复显示
3. 系统分区恢复显示后,运行360系统急救箱PE版,扫描系统盘或全盘扫描,查杀完成后重启电脑
4. FixRansomMbr更新日志:(不定期添加新型MBR勒索木马支持)
