預防勒索者病毒的方法就是數據備份、數據備份��、數據備份��。
一��、概述勒索病毒作為全球最嚴峻的網絡安全威脅之一,2019年持續對全球范圍內的醫療����、教育����、能源�����、交通等社會基礎服務設施�����,社會支柱產業造成重創。
圍繞目標優質化����、攻擊精準化、贖金定制化的勒索策略���,以數據加密為核心�����,同時展開數據竊取、詐騙恐嚇的勒索戰術穩定成型��,促使勒索病毒在2019年索取贖金的額度有明顯增長�����。
老的勒索家族持續活躍��,新的勒索病毒層出不窮,犯罪行為愈演愈烈���,安全形勢不容樂觀。
勒索病毒攻擊2019典型事件:2019年3月初��,國內發現大量境外黑客組織借助惡意郵件傳播的GandCrab勒索病毒����,黑客通過假冒司法機構發件人,成功攻擊感染了我國多個政企機構內網��,隨后我國多地區機構發起安全預警���。
2019年3月下旬�����,世界最大的鋁產品生產商之一挪威海德魯公司(Norsk Hydro)遭遇勒索軟件公司�,隨后該公司被迫關閉了幾條自動化生產線����,損失不可估量���。
2019年5月26日�����,易到用車發布公告稱其服務器遭受到連續攻擊�����,服務器內核心數據被加密,攻擊者索要巨額的比特幣。
易到表示嚴厲譴責該不法行為,并已報警�。
2019年5月29日�����,美國佛羅里達州里維埃拉海灘警察局因員工運行了惡意的電子郵件,從而導致該城市基礎服務設施遭受勒索軟件加密��。
市政官員于隨后召開會議���,批準通過一筆大約60萬美元的資金用于支付勒索贖金���。
2019年6月中旬�����,世界最大飛機零件供應商之一ASCO遭遇勒索病毒攻擊�,由于被病毒攻擊導致的生產環境系統癱瘓��,該公司將1400名工人中大約1000人送回家帶薪休假,同時停止了四個國家的工廠生產�。
2019年9月22日���,國內某大型建筑設計有限公司遭到勒索病毒攻擊�,被勒索的每臺電腦要給出1.5個比特幣才能解鎖����,該公司的電腦全面崩潰,所有圖紙都無法外發����,該事件引發微博熱議��。
2019年10月�����,全球最大的助聽器制造商之一Demant遭受勒索病毒入侵,該公司是目前聽力行業唯一產品線涵蓋助聽器����、人工中耳��、骨導助聽器、電子耳蝸及調頻語訓系統的全面聽力解決方案提供者���,全球聽力檢測設備領域的領先者,攻擊導致的造成的損失高達9500W美元�����。
2019年12月���,Maze(迷宮)勒索團伙向Southwire集團勒索600W美元�����,Southwire是北美領先的電線電纜制造商之一,勒索團伙聲稱:如果Southwire不交贖金���,則會在網絡上公布該公司的泄漏的120G重要數據。
二�、2019年勒索病毒特點總結:
1.老牌勒索家族轉向精準化�,高質量的狩獵行動觀察過去一年騰訊安全威脅情報中心收到的勒索求助反饋�,主流老牌勒索家族(如GlobeImposter,Crysis)實施的勒索攻擊中�����,企業用戶占據了其絕大部分�。
這意味著老牌勒索家族已經從廣撒網無差別模式的攻擊,轉變為精準化��、高質量的行動�,該轉變使攻擊者每次攻擊行動后的收益轉化過程更有效。
而企業服務器被攻陷則多為對外開放相關服務使用弱口令導致�,當企業內一臺服務器被攻失陷�,攻擊者則會將該機器作為跳板機����,繼續嘗試攻擊其它局域網內的重要資產,在部分勒索感染現場我們也看到攻擊者留下的大量相關對抗�、掃描工具�����,個別失陷環境中攻擊者光是使用的密碼抓取工具就有數十款之多。
2.威脅公開機密數據成勒索攻擊新手段勒索病毒發展歷程中����,攻擊者勒索的加密幣種包括門羅幣�、達世幣��、比特幣���、平臺代金券等。
觀察2019年相關數據可知,基于匿名性�����,穩定性���,便捷性�����,相對保值性等特點�����,比特幣已基本成為勒索市場中唯一不二的硬通貨���。
付款方式上���,基本使用虛擬貨幣錢包轉賬��。
勒索交涉的溝通過程中,使用IM工具私信的方式在大型攻擊中已消失(少量惡搞��、鎖機類低贖金還在使用)���,攻擊者多選擇以匿名�����、非匿名郵箱溝通交涉����,或使用Tor登錄暗網����,瀏覽器直接訪問明網相應站點使用相應的贖金交涉服務��。
2019年�,勒索病毒團伙也開始偏向于贖金定制化�����,對不同目標要價各不相同����,往往根據被加密數據的潛在價值定價(通常在5K-10w***)����,勒索病毒運營者的這種手法大幅提高了單筆勒索收益。
這也導致個別大型政企機構在遭受到針對性的加密攻擊后�,被開出的勒索金額高達數百萬元�。
當企業有完善的數據備份方案�,拒絕繳納贖金時,勒索團伙則采取另一種手段:威脅泄露受害者的機密文件來勒索。
下圖為Maze病毒團伙在數據加密勒索企業失敗后����,公開放出了被攻擊企業2GB私密數據�����。
Sodinokibi勒索團伙也在黑客論壇發聲,稱如果被攻擊者拒絕拒絕繳納贖金�,則會將其商業信息出售給其競爭對手�����。
通過加密前先竊取企業重要數據��,當企業拒絕交付解密贖金情況時�����,再以公開機密數據為籌碼,對企業實施威脅勒索���。
數據泄露對大型企業而言,帶來的損失可能更加嚴重���,不僅會造成嚴重的經濟損失,還會使企業形象受損��,造成嚴重的負面影響���。
3.僵尸網絡與勒索病毒相互勾結僵尸網絡是一種通過多重傳播手段�����,將大量主機感染bot程序��,從而在控制者和感染僵尸網絡程序之間所形成的一對多控制的網絡,僵尸網絡擁有豐富的資源(肉雞)���,勒索病毒團伙與其合作可迅速提升其勒索規模���,進而直接有效增加勒索收益�����。
在2019年,國內借助僵尸網絡實施的勒索攻擊趨勢也進一步提升�����,我們觀察到主要有以下相互勾結����。
A.Emotet僵尸網絡伙同Ryuk實施勒索:Ryuk勒索病毒家族起源于Hermes家族���,最早的活躍跡象可追溯到8月����,國內自2019年7月開始有活動跡象,該團伙的特征之一為勒索贖金額度通常極高(超過百萬),觀察國內被勒索環境中可知���,該染毒環境中同時會伴隨著Emotet病毒的檢出,而國外也有相關分析�,指出該病毒常借助Trickbot����,Emotet進行分發�����。
B.Phorpiex僵尸網絡伙同Nemty實施勒索:Nemty 病毒在國內早期主要依靠垃圾郵件傳播���,在2019年中也依靠Phorpiex僵尸網絡大面積投遞����,下圖中IP:185.176.27.132���,騰訊安圖情報平臺中已標識為Phorpiex僵尸網絡資產���,其上投遞了Nemty 1.6版本的勒索變種�,此次病毒間的勾結行為導致在2019年國慶期間Nemty勒索病毒一度高發�����,國內多家企業受到Nemty勒索病毒影響���。
C.Phorpiex僵尸網絡伙同GandCrab實施的勒索:GandCrab勒索病毒首次出現于1月����,也是2019上半年是最為活躍的病毒之一����。
該病毒在一年多的時間里經歷了5個大版本的迭代,于2019年6月1日在社交媒體公開宣布已成功勒索20億美元將停止運營,GandCrab勒索病毒的整個歷程與使用Phorpiex僵尸網絡長期投遞有密不可分的關系�����。
D.Phorpiex僵尸網絡群發勒索恐嚇郵件:你可能收到過類似的郵件:“你已經感染了我的私人木馬�����,我知道你的所有密碼和隱私信息(包括隱私視頻)��,唯一讓我停下來的方式就是三天內向我支付價值900美元的比特幣。
”Phorpiex僵尸網絡利用網絡中的歷史泄漏郵箱信息,對千萬級別的郵箱發起了詐騙勒索���,當命中收件人隱私信息后,利用收件人的恐慌心里�,進而成功實施欺詐勒索��。
勒索過程中����,受害者由于擔心自己隱私信息遭受進一步的泄漏��,極容易陷入勒索者的圈套,從而受騙繳納贖金��。
4.喪心病狂的反復加密�,文件名加密騰訊安全御見威脅情報中心在日常處理勒索病毒的現場發現,有個別系統內同時被多個勒索病毒感染�。
后來的攻擊者在面對文件已被加密的失陷系統���,依然將已損壞數據再次加密����。
導致受害者需繳納兩次贖金��,且由于解密測試過程無法單一驗證��,即使繳納贖金,數據還原難度也有所提高。
同時還注意到部分勒索病毒并不滿足于加密文件�,連同文件名也一同進行修改��,從側面反映出勒索病毒運營者也存在競爭激烈,攻擊者對贖金的追求已喪心病狂���。
5.中文定制化中國作為擁有8億多網民的網絡應用大國,毫無疑問成為勒索病毒攻擊的重要目標��,一部分勒索病毒運營者開始在勒索信��、暗網服務頁面提供中文語言界面����。
三�����、2019年勒索病毒攻擊數據盤點2019全年中����,勒索病毒攻擊以1月份攻擊次數最多���,下半年整體攻擊次數較上半年有所下降��。
但根據騰訊安全威脅情報中心接收到的眾多反饋數據,下半年企業遭受勒索病毒攻擊的反饋數不減反增�,主要原因為部分老牌勒索家族對企業網絡的攻擊更加精準����,致企業遭遇勒索病毒的損失更加嚴重���。
從2019我們接受到的勒索反饋來看�����,通過加密用戶系統內的重要資料文檔���,數據�,再勒索虛擬幣實施犯罪仍為當前勒索病毒攻擊的的主要形式��。
使用群發勒索恐嚇郵件��,命中收件人隱私信息后,再利用收件人的恐慌心里���,實施欺詐勒索的方式也較為流行。
加密數據勒索不成以泄漏數據再次脅迫企業的方式也成為了勒索團伙新的盈利模式(Maze和Sodinokibi已使用)�。
以鎖定系統的方式進行勒索多以易語言為代表編寫的游戲外掛���、輔助工具中�����。
同時也有極少數以勒索攻擊為表象,以消除入侵痕跡掩蓋真相為目的的攻擊事件,該類型的勒索病毒通常出現在部分定向竊密行動中�。
觀察2019全年勒索病毒感染地域數據可知��,國內遭受勒索病毒攻擊中,廣東���,北京,江蘇����,上海����,河北����,山東最為嚴重,其它省份也有遭受到不同程度攻擊���。
傳統企業,教育���,政府機構遭受攻擊最為嚴重,互聯網��,醫療���,金融���,能源緊隨其后����。
2019全年勒索病毒攻擊方式依然以弱口令爆破為主,其次為通過海量的垃圾郵件傳播,勾結僵尸網絡發起的攻擊有上升趨勢。
勒索病毒也通過高危漏洞,軟件供應鏈形等形式傳播。
四�����、2019國內勒索家族活躍Top榜觀察2019全年勒索病毒活躍度��,GlobeImposter家族最為活躍,該病毒在國內傳播主要以其12生肖系列,12主神系列為主(加密擴展后綴中包含相關英文,例如:.Zeus865),各政企機構都是其重點攻擊目標。
其次為Crysis系列家族�����,該家族伙同其衍生Phobos系列一同持續活躍�����,緊隨GlobeImposter之后��。
GandCrab家族雖然在2019年6月1日宣布停止運營,但在之后短時間內依然有部分余毒擴散����,該病毒以出道16個月��,非法獲利20億美元結束傳播,雖然其2019生命周期只有一半���,但其瘋狂斂財程度堪稱年度之最。
緊隨其后的則是被稱為GandCrab接班人的Sodinokibi��,該病毒在傳播手法���,作案方式����,病毒行為上于GandCrab有許多相似,為2019年勒索病毒中最具威脅的新型家族之一。
Stop家族則寄生于大量的破解軟件中�����,持續攻擊加密了國內大量技術人員的工程制圖�����,音頻,視頻制作材料�����。
老牌勒索家族持續活躍,新的勒索病毒不斷涌現����。
越來越多的不法分子參與到這個黑產行業中來�����。
GlobeImposterGlobeImposter出現于2017年中,加密文件完成后會留下名為HOW TO BACK YOURFILES.(txt html exe)類型的勒索說明文件�。
該病毒加密擴展后綴繁多��,其規模使用且感染泛濫的類型有12生肖4444,12生肖/主神666���,12生肖/主神865,12生肖/主神865qq等系列�����,由于該病毒出現至今仍然無有效的解密工具�����,各政企機構需提高警惕���。
CrysisCrysis勒索病毒從2016年開始具有勒索活動 ��,加密文件完成后通常會添加“ID+郵箱+指定后綴”格式的擴展后綴��,例:“id-編號.[gracey1c6rwhite@aol.com].bip”�,其家族衍生Phobos系列變種在今年2月開始也有所活躍��。
該病毒通常使用弱口令爆破的方式入侵企業服務器���,安全意識薄弱的企業由于多臺機器使用同一弱密碼����,面對該病毒極容易引起企業內服務器的大面積感染���,進而造成業務系統癱瘓����。
GandCrabGandCrab勒索病毒首次出現于1月,是國內首個使用達世幣(DASH)作為贖金的勒索病毒���,也是2019上半年是最為活躍的病毒之一。
該病毒在一年多的時間里經歷了5個大版本的迭代��,該病毒作者也一直和安全廠商����、執法部門斗智斗勇。
該病毒在國內擅長使用弱口令爆破�,掛馬�,垃圾郵件等各種方式傳播���。
10月16日��,一位敘利亞用戶在推特表示�����,GandCrab病毒加密了他的電腦文件�����,因無力支付勒索贖金���,他再也無法看到因為戰爭喪生的小兒子的照片����。
隨后GandCrab放出了敘利亞地區的部分密鑰��,并在之后的病毒版本中將敘利亞地區列入白名單不再感染��,這也是國內有廠商將其命名為“俠盜勒索”的原因�。
2019年6月1日�,GandCrab運營團隊在某俄語論壇公開聲明“從出道到現在的16個月內共賺到20多億美金,平均每人每年入賬1.5億,并成功將這些錢洗白�。
同時宣布關閉勒索服務��,停止運營團隊,后續也不會放出用于解密的密鑰,往后余生,要揮金如土���,風流快活去”。
2019年6月17日����,Bitdefender聯合羅馬尼亞與歐洲多地區警方一起通過線上線下聯合打擊的方式����,實現了對GandCrab最新病毒版本v5.2的解密�����。
該事件也標志著GandCrab勒索團伙故事的終結���。
SodinokibiSodinokibi勒索病毒首次出現于2019年4月底,由于之后GandCrab停止運營事件����,該病毒緊跟其后將GandCrab勒索家族的多個傳播渠道納入自身手中��。
該病毒目前在國內主要通過web相關漏洞和海量的釣魚郵件傳播,也被國內廠商稱為GandCrab的“接班人”�,從該病毒傳播感染勢頭來看���,毫無疑問是勒索黑產中的一顆上升的新星��。
StopStop勒索病毒家族在國內主要通過破解軟件等工具捆綁進行傳播,加密時通常需要下載其它病毒輔助工作模塊����。
Stop勒索病毒使用勒索后綴變化極為頻繁���,通常勒索980美元�,并聲稱72小時內聯系病毒作者將獲得50%費用減免��,同時�,該病毒除加密文件外�,還具備以下行為特點。
1.加密時,禁用任務管理器���、禁用Windows Defender、關閉Windows Defender的實時監控功能;
2.通過修改hosts文件阻止系統訪問全球范圍內大量安全廠商的網站;
3.因病毒執行加密時,會造成系統明顯卡頓�,為掩人耳目�����,病毒會彈出偽造的Windows 自動更新窗口;
4.釋放一個被人為修改后不顯示界面的TeamViewer模塊�,用來實現對目標電腦的遠程控制�;
5..下載AZORult竊密木馬����,以竊取用戶瀏覽器��、郵箱��、多個聊天工具的用戶名密碼;
ParadiseParadise勒索病毒最早出現于7月�����,該病毒勒索彈窗樣式與Crysis極為相似��,勒索病毒加密文件完成后將修改文件名為以下格式:[原文件名]_[隨機字符串]_{郵箱}.隨機后綴�����,并留下名為Instructions with your files.txt或###_INFO_you_FILE_###.txt 的勒索說明文檔。
MazeMaze(迷宮)勒索病毒也叫ChaCha勒索病毒�����,擅長使用Fallout EK漏洞利用工具通過網頁掛馬等方式傳播。
被掛馬的網頁�,多見于黃賭毒相關頁面����,通常會逐步擴大到盜版軟件�����、游戲外掛(或破解)���、盜版影視作品下載���,以及某些軟件內嵌的廣告頁面����,該病毒的特點之一是稱根據染毒機器的價值來確認勒索所需的具體金額�,該勒索病毒同時也是將數據加密勒索轉向數據泄露的先行者��。
NemtyNEMTY勒索病毒出現于今年8月�,該病毒早期版本加密文件完成后會添加NEMTY擴展后綴�����,也因此得名���。
NEMTY 變種病毒加密文件完成后會添加“._NEMTY_random_7個隨機字符”擴展名后綴��,由于該病毒與Phorpiex僵尸網絡合作,在2019年國慶期間感染量有一次爆發增長����,該病毒會避開感染俄羅斯���、白俄羅斯��、烏克蘭及多個中亞國家。
MedusalockerMedusalocker該病毒出現于2019年10月���,已知該病毒主要通過釣魚欺詐郵件及托口令爆破傳播。
該病毒早期版本加密文件完成后添加擴展后綴.encrypted���,最新傳播病毒版本加密文件后添加.ReadTheInstructions擴展后綴。
攻擊者會向受害者勒索1BTC(比特幣)��,市值約6.5萬元�����。
RyukRyuk的特點之一是傾向于攻擊數據價值較高的政企機構,且贖金普遍極高(最近聯系作者要價11個比特幣���,價值約75萬元RMB,在國外該病毒開出的贖金額度通常高達數百萬RMB)��,Ryuk勒索家族起源于Hermes家族���,最早的活躍跡象可追溯到8月����,國內發現該病毒的投遞與Emotet僵尸網絡有著密不可分的關系。
五、勒索病毒未來發展方向
1���、勒索病毒與安全軟件的對抗加劇隨著安全軟件對勒索病毒的解決方案成熟完善,勒索病毒更加難以成功入侵用戶電腦,病毒傳播者會不斷升級對抗技術方案�����。
2���、勒索病毒傳播場景多樣化過去勒索病毒傳播主要以釣魚郵件為主�����,現在勒索病毒更多利用了高危漏洞����、魚叉式攻擊,或水坑攻擊等方式傳播,乃至通過軟件供應量傳播,都大大提高了入侵成功率�����。
3���、勒索病毒攻擊目標轉向企業用戶個人電腦大多能夠使用安全軟件完成漏洞修補����,在遭遇勒索病毒攻擊時���,個人用戶往往會放棄數據���,恢復系統�����。
而企業用戶在沒有及時備份的情況下��,會傾向于支付贖金,挽回數據�。
因此����,已發現越來越多攻擊目標是政府機關��、企業�、醫院��、學校���。
4��、勒索病毒更新迭代加快隨著安全廠商與警方的不斷努力,越來越多的勒索病毒將會被破解���,被打擊,這也將加劇黑產從業者對病毒進行更新迭代�。
5��、勒索贖金定制化�����,贖金進一步提高隨著用戶安全意識提高���、安全軟件防御能力提升�����,勒索病毒入侵成本越來越高,攻擊者更偏向于向不同企業開出不同價格的勒索贖金��,定制化的贖金方案能有效提升勒索成功率�,直接提升勒索收益。
如某公司被勒索病毒入侵后�,竟被勒索9.5個比特幣�,還有Ryuk團伙動輒開出上百萬的勒索贖金單���,都代表勒索病毒贖金未來會有進一步的提高�。
6、勒索病毒開發門檻降低觀察近期勒索病毒開發語言類型可知�����,越來越多基于腳本語言開發出的勒索病毒開始涌現�����,甚至開始出現使用中文編程“易語言”開發的勒索病毒��。
例如使用Python系列的“Py-Locker”勒索病毒,易語言供應鏈傳播鬧的沸沸揚揚的“unname1889”勒索病毒,甚至利用bat腳本結合Winrar相關模塊直接對文件進行壓縮包密碼加密的“FakeGlobeimposter”病毒等����,門檻低意味著將有更多的黑產人群進入勒索產業這個領域�����,也意味著該病毒將持續發展泛濫。
7���、勒索病毒產業化隨著勒索病毒的不斷涌現,騰訊安全御見威脅情報中心觀察到勒索代理同樣繁榮�。
當企業遭遇勒索病毒攻擊���,關鍵業務數據被加密�����,而理論上根本無法解密時,勒索代理機構�����,承接了受害者和攻擊者之間談判交易恢復數據的業務��。
我們注意到勒索代理機構常年購買搜索關鍵字廣告承接生意���。
8����、勒索病毒多平臺擴散目前受到的勒索病毒攻擊主要是windows系統���,但是管家也陸續發現了MacOS�����、Android等平臺的勒索病毒����,隨著windows的防范措施完善和攻擊者永不滿足的貪欲��,未來勒索病毒在其他平臺的影響力也會逐步增大。
9、勒索病毒黑產參與者持續上升��,勒索病毒影響規模進一步擴大GandCrab通過16個月賺夠20億美金高調“退休”的故事被廣為流傳����,可以預見,此事件將引爆黑暗中更多人的貪欲,在未來相當長一段時間內�����,將會有越來越多的人投身勒索行業����,黑產從業者將持續上升。
隨著各類型病毒木馬盈利模式一致����,各類型病毒均有可能隨時附加勒索屬性�����。
蠕蟲,感染���,僵尸網絡,挖礦木馬,在充分榨干感染目標剩余價值后����,都極有可能下發勒索模塊進行最后一步敲詐���,2019年老的勒索家族持續活躍�,新的勒索病毒也層出不窮����,可預測未來由勒索病毒導致的網絡攻擊將依然是企業安全面臨的重要問題之一。
六�����、勒索病毒防范措施
企業用戶參考以下措施A����、定期進行安全培訓,日常安全管理可參考“三不三要”思路
1.不上鉤:標題吸引人的未知郵件不要點開2.不打開:不隨便打開電子郵件附件3.不點擊:不隨意點擊電子郵件中附帶網址4.要備份:重要資料要備份5.要確認:開啟電子郵件前確認發件人可信6.要更新:系統補丁/安全軟件病毒庫保持實時更新
B�����、全網安裝專業的終端安全管理軟件����,由管理員批量殺毒和安裝補丁,后續定期更新各類系統高危補丁�����。
C�����、部署流量監控/阻斷類設備/軟件����,便于事前發現,事中阻斷和事后回溯��。
D�����、建議由于其他原因不能及時安裝補丁的系統�,考慮在網絡邊界、路由器��、防火墻上設置嚴格的訪問控制策略��,以保證網絡的動態安全�。
E����、使用內網強制密碼安全策略來避免使用簡單密碼。
1.建議對于存在弱口令或是空口令的服務����,在一些關鍵服務上�����,應加強口令強度,同時需使用加密傳輸方式�����,對于一些可關閉的服務來說���,建議關閉不要的服務端口以達到安全目的�。
不使用相同口令管理多臺關鍵服務器。
2.建議對數據庫賬戶密碼策略建議進行配置�,對最大錯誤登錄次數�、超過有效次數進行鎖定��、密碼有效期�、到期后的寬限時間�、密碼重用等策略進行加固設置。
F�、建議網絡管理員、系統管理員、安全管理員關注安全信息�、安全動態及最新的嚴重漏洞��,攻與防的循環,伴隨每個主流操作系統、應用服務的生命周期���。
G、建議對數據庫的管理訪問節點地址進行嚴格限制,只允許特定管理主機IP進行遠程登錄數據庫��。
H��、做好安全災備方案����,可按數據備份三二一原則來指導實施
1、至少準備三份:重要數據備份兩份2、兩種不同形式:將數據備份在兩種不同的存儲類型,如服務器/移動硬盤/云端/光盤等3���、一份異地備份:至少一份備份存儲在異地,當發生意外時保證有一份備份數據安全。
個人用戶啟用安全防護軟件騰訊電腦管家可對各勒索病毒家族變種及時防御攔截,同時管家文檔守護者通過集成多個主流勒索家族的解密方案�,通過完善的數據備份防護方案����,在2019中為數千萬的管家用戶提供文檔保護恢復服務�。
通過自研解密方案成功為上千名不幸感染勒索病毒者提供了解密服務,幫助其成功恢復了被病毒加密的文件��。
利用電腦管家內置文檔守護者嘗試恢復數據
