在上周六我们接到了一家公司的求助来电,电话里跟我们讲他们公司在前一天的凌晨3点感染了勒索病毒,第二天早上发现的中了勒索病毒,该勒索病毒的后缀名为:.[[email protected]].[xxxxxxx-xxxxxx]这个勒索病毒的病毒后缀就是中毒服务器的ID。这个病毒的格式为:
文件名.原扩展名(例.txt).[[email protected]].[xxxxxxx-xxxxxx](病毒ID)
![](https://img.laitimes.com/img/9ZDMuAjOiMmIsIjOiQnIsICM38FdsYkRGZkRG9lcvx2bjxiNx8VZ6l2cscXRU1kZW1mWo50MMBjVtJWd0ckW65UbM5WOHJWa5kHT20ESjBjUIF2X0hXZ0xCMx81dvRWYoNHLrdEZwZ1Rh5WNXp1bwNjW1ZUba9VZwlHdssmch1mclRXY39CXldWYtlWPzNXZj9mcw1ycz9WL49zZwpmL4YjMyAjMyUTM2AzNwEjMwIzLc52YucWbp5GZzNmLn9Gbi1yZtl2Lc9CX6MHc0RHaiojIsJye.jpg)
我们接到电话后向客户拿到了测试文件,经过观察我们发现了该类病毒和常规病毒的不同点,就是该类病毒在查看ascii码的时候发现头部和尾部均为空。但是根据我们以往的经验来看,完整加密的文件尾部的ascii码都有特征,于是在我们进行了测试后,跟客户取得联系,开始扫码解密,虽然中间遇到了点波折,但是最后还是在周日上午将数据百分百解密完成。