中了勒索病毒怎么办？中勒索病毒后如何清除( 二 )

保留犯罪现场
如果还想找回被加密的文件，尽量让现场保持原样。
不要指望重装系统就能好，有些勒索病毒的解密需要根据你电脑的一些软硬件信息（比如注册表信息）来生成密钥，一旦这些信息被破坏，很可能永远都无法解密，交了钱也没辙。
最好也不要重启电脑或关机。这是网络勒索，网管的那套“万能重启大法”在此并不好使，还可能弄巧成拙，因为电脑内存里很可能留有用来解密的线索，专业人士可以拿来破案，一旦关机断电就会被清空。
在这方面警察蜀黍办案的流程就值得学习，在第一时间保留线索和作案现场，方便日后回溯线索和破案。

文章插图

保留好现场，下面我们就可以进入自救环节。
到这一步，重要文件应该已经变成了加密状态，就像这个亚子。

文章插图

勒索病毒千千万，你得知道自己中了哪一卦。怎么办？

收集病毒特征
仔细回想一下，在中毒的前一刻，自己是不是上了什么不该上的网站，打开了什么不该打开的文件？看了什么不该看的东西？是不是有 FBI warning 过你？
如果你真的什么也没做，那也有可能是跟你同在一个局域网里的同事干的，当然，他有可能并不会承认，你不妨抽出皮带拷问他一下。
总之，能直接找到病毒样本是最好。
观察被加密的文件的后缀名，不同勒索病毒的后缀不一样，一般通过后缀名就能大致判断种类。比如 GlobeImposter 勒索病毒的常用后缀是：auchentoshan、动物名+4444，而 WannaCry 勒索病毒的后缀名是 wncry 。
怎么判断呢？上网搜呗，度娘谷歌都行，就像这样：