中了勒索病毒文件被加密怎么恢复?
⚠️ 第一步:立刻断网!拔网线!
发现文件后缀全变了、出现勒索提示文本后,立刻拔掉网线、关闭 Wi-Fi。防止病毒继续加密未感染的文件,也防止它扩散到局域网内的其他电脑。
紧急止损(前 5 分钟必做)
| 步骤 | 操作 | 原因 |
|---|---|---|
| 1 | 断网(拔网线/关Wi-Fi) | 阻断加密进程和横向传播 |
| 2 | 不要关机 | 某些病毒加密密钥在内存中,关机后更难破解 |
| 3 | 拍下勒索界面 | 保留赎金信息的截图,后续报案和找解密工具都需要 |
| 4 | 拔掉所有外接硬盘/U盘 | 防止病毒加密外接设备中的文件 |
| 5 | 不要支付赎金 | 支付了对方不一定给你密钥,且助长犯罪 |
判断你中的是哪一种勒索病毒
通过被加密文件的后缀来判断:
| 后缀名 | 毒株 | 有免费解密工具吗 |
|---|---|---|
.lockbit / .lockbit3 | LockBit | LockBit 3.0 加密前备份工具已发布 |
.ezz / .exx / .xyz | STOP/Djvu 家族 | ✅ 部分变种有免费解密器 |
.mallox / .mallab | Mallox | ⚠️ 部分旧版本有解密 |
.phobos / .eking | Phobos | ❌ 暂无公开解密 |
.mkp / .makop | Makop | ❌ 暂无 |
.encrypted / .crypt | 通用/杂牌 | 需要具体分析 |
.xxx555 / .zzzzz | 变种 STOP | ✅ 可用 STOP Djvu 解密器试试 |
第一步:查免费解密工具
安全厂商会不断破解已知变种的密钥,在以下网站搜索你的文件后缀名:
- No More Ransom:
nomoreransom.org(欧洲刑警组织 + 多家安全厂商联合运营) - Emsisoft Decryptor: Emsisoft 官网的 Decryptor Tools 页面
- Kaspersky Ransomware Decryptor: 卡巴斯基免费解密工具合集
- Avast Free Decryptor: Avast 发布的各种变种解密器
💡 使用方法:在这些网站搜索你文件的后缀名,下载对应解密工具 → 断开网运行 → 选中被加密的文件夹 → 解密。
第二步:如果解密工具无效——检查"卷影复制"
Windows 的"卷影复制"(Volume Shadow Copy)如果开启着,可能保留了加密前的文件版本:
- 右键被加密的文件夹 → 属性 → 以前的版本。
- 如果有列出旧版本,选中 → 还原。
- 如果路径下没有,在父级目录也试试。
很多勒索病毒会先删除卷影副本再加密,所以这一步成功率不高。但值得一查。
第三步:从备份恢复
如果上面都无效,且没有备份:
- 如果你用了 OneDrive/坚果云/百度网盘同步盘,检查云端版本历史——有些云盘保留了旧版本(见文件被覆盖恢复教程)。
- 如果你有外接硬盘的定时备份,在断网环境下恢复数据(确保备份盘没被感染)。
第四步:恢复软件——尝试恢复被"加密后删除"的原始文件
勒索病毒的加密过程通常是:读取原始文件 → 加密 → 写入加密后的文件 → 删除原始文件。
被删除的原始文件可能还在磁盘底层残留!关键:加密后你没有大量写入新数据。
- 在断网环境下,用另一台电脑下载 DiskGenius 到 U 盘。
- 在中毒电脑上从 U 盘运行(不要安装任何东西到中毒盘)。
- 深度扫描被加密文件所在的分区。
- 在结果中寻找加密前时间戳的同名文件。
- 尝试恢复并打开。
⚠️ 这个方法只适合恢复少数关键文件——因为:
- 加密过程本身就是大量写入(加密后文件 ≈ 原始文件大小),会覆盖很多旧数据。
- 如果中病毒后过了一段时间才恢复,C 盘的系统写入已经把残留数据冲得差不多了。
第五步:实在没办法——保留加密文件等以后
安全厂商随时可能发布新的解密工具。已经加密的文件不要删除,保存到外接硬盘,等后续解密工具出现后再解密。有些变种在 3 个月甚至 1 年后才被攻破。
预防措施
| 措施 | 优先级 |
|---|---|
| 备份备份备份 | 🔴 最高——3-2-1 原则:3份备份,2种介质,1份异地 |
| 关闭不必要端口(3389/445) | 🔴 勒索病毒主要通过 RDP 和 SMB 传播 |
| 不打开可疑邮件附件 | 🔴 为主要传播入口 |
| 安装正规杀毒软件 | 🟡 能拦截大部分已知变种 |
| 开启 Windows 的受控文件夹访问 | 🟡 阻止未知程序修改文档文件夹 |
| 使用普通用户账户而非管理员 | 🟡 降低病毒感染范围 |