来源：FreeBu

　　参考来源：2-spyware 、virusresearch、.theregister

　　编译：FB小编Carrie

　　链接：www.freebuf.com/articles/system/135159.html

　　WannaCry爆发以后，安全专家正应付得焦头烂额，一波未平、一波又起，国外某些用户的电脑又遭到了第二波攻击，他们的电脑屏幕上跳出了以下信息：

　　>>> ALL YOUR PERSONAL FILES ARE DECODED <<<

　　Your personal code: XXX

　　To decrypt your files, you need to buy special software.

　　Do not attempt to decode or modify files, it may be broken.

　　To restore data, follow the instructions!

　　You can learn more at this site:

　　hxxps://4ujngbdqqm6t2c53[.]onion.to

　　hxxps://4ujngbdqqm6t2c53[.]onion.cab

　　hxxps://4ujngbdqqm6t2c53[.]onion.nu

　　If a resource is unavailable for a long time to install and use the tor browser.

　　After you start the Tor browser you need to open this link hxxp://4ujngbdqqm6t2c53[.]onion

　　（你的个人文件已被加密；个人识别码：{唯一的ID号}要想解密文件必须购买专用软件。千万不要尝试解码或修改文件，否则一切后果自负。想要恢复文件，务必遵循以下步骤！

　　更多信息请访问以下链接：{基于洋葱网络的网页}。若该资源长时间无法正常安装，可使用洋葱浏览器。打开洋葱浏览器后访问以下链接{TOR URL}）

　　一、基本介绍

　　这种病毒被称为UIWIX——勒索软件最新的家族成员，利用的是与WannaCry相同的漏洞。但UIWIX不像WannaCry那样具备kill switch，其作用是阻止病毒的传播，也就是说UIWIX只会不断进行自我复制，这种破坏连病毒的开发者也无法阻止。

　　当然也有专家提出反对观点，认为UIWIX并不是一种SMB蠕虫，其背后黑客只是手动利用漏洞并展开感染，不具有像蠕虫那样极强的传播能力。

　　UIWIX首先会扫描硬盘并检测所有目标文件。它能够加密九十多种类型的文件，包括文档、图片、档案。加密文件名称中会出现“.UIWIX”的后缀。也就是说假如您有一个名为example.exe的文件，病毒会将其重命名为example.exe.UIWIX。

　　我们还是能够能看到文件图标，但无法打开。好消息是，该病毒不会加密和操作系统相关的关键文件。因此至少我们还是可以通过电脑寻找解决方案。但坏消息是目前还没有免费的解密工具公开。

　　不过作为受害群众也不需要太过担心，全球成千上万的安全研究人员都在努力开发工具。在这里需要着重提醒读者的一点是：千万不要支付赎金！UIWIX背后的黑客要求受害者支付0.12比特币（约220USD）来购买所谓的解密工具。

　　之所以选择比特币正是因为它的不可追踪性。如果你付了钱也没有收到解密程序，那么神仙也帮不了你了。所以，千万千万不要付赎金！你面对的是破坏社会规则的犯罪分子，指望他们会公平交易，你也太天真了。

　　二、感染方式

　　UIWIX的开发者利用的也是Windows系统中的SMBv1和SMBv2漏洞，也就是被称为“Shadow Brokers”的黑客组织所泄露的“永恒之蓝”漏洞。Windows用户都要为操作系统和软件打好补丁，以免感染。

　　微软甚至还为WindowsXP、Win8、Windows Server 2003这些不再提供更新服务的用户推出了修复补丁。

　　另外，UIWIX可能也会通过被入侵的远程桌面连接进行攻击。一些专家认为该恶意软件也可能会采用邮件附件的方式进行传播感染。因此建议大家都要保持百分之百的警惕来预防UIWIX这些勒索软件。

　　如果被感染了怎么办？天无绝人之路。你是否有在其它设备上备份系统？如果有，那么我们就可以轻松地恢复文件。但是在恢复之前的首要任务还是要把UIWIX先删除，否则它还是会把你刚刚恢复的文件进行加密，甚至损坏你的备份设备。

　　因此我们需要使用一个可信的反病毒软件来删除UIWIX。或者你也可以按照我们的步骤进行手动删除，清理设备并开始定期备份系统。只有这样，才能预防勒索软件的卷土重来。

　　三、UIWIX删除向导

　　>>>>

　　第一步：通过带网络连接的安全模式删除UIWIX

　　请按照以下说明操作。切记在安全模式下完成反病毒软件的运行后，恢复正常模式进行重复扫描。

　　重启电脑，开启“带网络连接的安全模式”（Safe Mode with Networking）。

　　Windows 7 / Vista / XP

　　1. 单击开始→关机→重启→OK

　　2. 当电脑处于活动状态时，多次按住键盘上的F8按钮，直到跳出“Advanced Boot Options”（高级启动选项）

　　3. 选择列表中的“Safe Mode with Networking”

　　Windows 10 / Windows 8

　　1. 在Windows登录界面上按电源按钮

　　2. 按住Shift键，然后单击重启

　　3. 选择疑难解答→高级选项→启动设置→重启

　　4. 一旦计算机进入活动状态，在启动设置窗口中选择“Enable Safe Mode with Networking”

　　>>>>

　　第二步：删除UIWIX

　　登录至受感染帐户并启动浏览器。下载反间谍程序。确保在最新状态下对系统进行全面扫描，同时删除恶意文件，最终完成UIWIX的清理工作。

　　如果勒索软件阻止Safe Mode with Networking。那么我们可以通过以下方法作进一步尝试。

　　利用System Restore（系统还原）完成恶意软件的清理，请遵循以下步骤。

　　>>>>

　　第一步：重启电脑，开启Safe Mode with Command Prompt（带命令提示符的安全模式）

　　Windows 7 / Vista / XP

　　1. 点击开始→关机→重启→OK

　　2. 当你的电脑进入活动状态后，多次按住F8，直到跳出Advanced Boot Option界面（高级启动选项）

　　3. 在列表中选择Command Prompt

　　Windows 10 / Windows 8

　　1. 在Windows登录界面上按电源按钮

　　2. 选择疑难解答→高级选项→启动设置→重启

　　3. 一旦计算机进入活动状态，在启动设置窗口中选择“Enable Safe Mode with Command Prompt

　　>>>>第二步：恢复系统文件与设置

　　Command Prompt页面跳出后，输入cd restore再按Enter键

　　再输入rstrui.exe,按Enter键

　　跳出一个新的窗口，点击“Next（下一步）”，选择UIWIX入侵之前的还原点，再点击“下一步”。

　　点击“Yes”开始进行系统还原。

　　如果系统还原到被攻击之前的状态后，请使用反病毒软件对计算机进行扫描，确保UIWIX已被成功删除。

　　四、Bonus：数据恢复

　　上面的步骤主要是删除UIWIX。下面我们将介绍如何恢复加密文件的方法，方法提出者是2-spyware.com的安全专家。

　　到目前为止，UIWIX的解密方法尚未被研究出来，因此我们采用其它方式来恢复你的数据。

　　1. 使用Data Recovery Pro来拯救被UIWIX加密的文件

　　下载Data Recovery Pro（https://www.2-spyware.com/download/data-recovery-pro-setup.exe）

　　根据安装指南完成安装

　　启动并扫描计算机上被UIWIX加密的文件

　　恢复文件

2. Windows的历史版本功能能够帮助恢复旧的文件版本

　　找到需要恢复的加密文件

　　右击，选择“属性”并转到“以前的版本”选项卡

　　检查“文件夹版本”中文件的每个可用副本

　　选择要恢复的版本，单击“恢复”

3. 合法的UIWIX解密器尚未正式发布

　　千万不要购买某些黑客贩卖的非法UIWIX解密器，因为这有可能是另一种恶意软件，反而会更大程度地破坏你的计算机。我们应时刻警惕勒索软件，同时也建议使用知名的反间谍软件，如：Reimage、Plumbytes Anti-Malware或Malwarebytes Anti Malware。

在微信公众号内回复数字“1”

小编拉你进粉丝微信群

不是在文章评论里回