原来的文件名字是 eula.1028.txt
现在是这样的,并且打不开 eula.1028.txt.{6BFAE12D-3449-3717-81C3-FC148F9E3AC8}.resback
而且留下了:YOUR FILES ARE ENCRYPTED
Your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email:
[email protected] and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email:
[email protected]
Attention!

Do not rename encrypted files.

Do not try to decrypt your data using third party software, it may cause permanent data loss.

Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Do not contact the intermediary companies. Negotiate on your own. No one but us will be able to return the files to you. As evidence, we will offer to test your files.
我应该如何处理文件并排查中毒途径:
已知:win 系统文件和 nas 文件受损。win 开启了远程,nas 的 smb 开了公网
谢谢大家

被勒索啦. 下载了什么软件啊.

没下载啥呀老哥,也用火绒扫描了,就是今天用老毛桃装系统联网了,emmm

可能种在 pe 里了吧, 换个干净的 pe , 微 pe 或者 ventoy 重新装一遍.

系统也用官方下的,别用那些 gho 或其他渠道修改的

一眼带毒老毛桃。

我看也像,tmd

好嘞老哥,谢谢老哥

老毛桃……有不带毒的吗,原版应该是零几年就停更了

勒索病毒如果没有专项的解密工具,文件基本上就没办法了,就算打钱也不一定能解开

会不会是公网被爆破被植入?

可以联系我处理 www.solarsecurity.cn

相比公网爆破 pe 的可能性更大一些. 现在那些 pe 吃相真无法言语,看了都吐.

这么牛逼吗,可以恢复?

只是建议: noransom.kaspersky.com/zh/

#10 也没准已经关了

装系统还是 dism++吧

#13 多数可以恢复,除非是新的变种

别用 pe 装系统

被勒索了,如果没有备份,只能指望安全公司提供解密工具了。

OP 严重缺乏常识啊,老毛桃最近 10 年都是垃圾 PE 的代名词了,类似的还有大白菜之类的。

用 PE 装系统没问题,但要去无忧论坛找一个干净的 PE ,例如雷电、WEPE 、Kuer 等,或者无忧那些发作品的并被广泛使用并验证过没问题的才行。

#19 不知哪个 PE 支持上网远程呢

我常用的雷电、Kuer 的 PE 都支持(只要支持网络的就支持),WePE 应该是不支持,但也有修改版支持。

老毛桃最后版本是 2009 年发布的哦

#21 我碰巧用的就是 WePE ,您说的前两个没用过,我找找看

两个问题:1.公网 smb 开启了可写权限。2.nas 文件未做影子保护。

影子保护?

请问 Ventoy 上的镜像测试列表里的 PE 是不是都靠谱? www.ventoy.net/cn/distro_iso/winpe.html