真实的比特币勒索木马体验

2017年2月18日，遭遇“spora比特币勒索”木马。 我以前见过一个人中过这种病毒，就是CTB-locker，但是因为他说当时他的电脑里没有重要的文件，所以就格式化了磁盘，重新分区安装系统。 据说他是在收到邮件点击里面的附件时中了木马。 这种病毒一般通过邮件的形式传播。 这个木马以相关格式加密你的文件，然后向你索要比特币，否则一段时间后你的所有文件都会被破坏。

昨天上网时，我没有点击任何敏感网站。 感觉就像普通的网站。 然后当我打开一个网页时，它提醒我需要安装一个名为“Chrome Font v1.47.exe”的插件。 当时以为是Chrome浏览器的字体插件，就安装了。 保留还是放弃，但是因为经常遇到这种情况（Chrome浏览器审核比较严格），所以想都没想就保留了，点击安装。 第一次安装的时候，双击没有反应，于是又安装了一遍。 之后电脑中的所有Office、pdf、dwg、rar、图片（不包括.png）等很多文件都打不开。

那时，我不知道发生了什么事。 我以为某个文件坏了比特币地址格式，想修复它。 但是突然发现电脑自动打开了一个网页：

我这才知道是电脑中毒了。 当我去查看其他文件时，我无法打开它们。

乍一看，解密需要190美元，需要用比特币支付。 由于我的电脑没有备份，多年的文件都在电脑里，如果我没有，我真的不想做。 所以我想着花钱把我的档案买回来。 但是我不知道如何购买比特币，所以我在网上搜索了一下，找到了一个有用的：

这次敲诈勒索显然是非常成熟、有组织、有预谋的。

查看我的电脑，发现文件夹变成了快捷键，真正的文件夹被隐藏了。 这是我后来了解到的：

除了C盘，每个盘的根目录下还有一个网页：

这是打开的页面。

后来也尝试了很多，但是通过正规渠道不容易买到，而且还有验证之类的。 由于中国禁止比特币，所以在中国买这个东西很麻烦。 后来在网上花了1500多买了0.2个比特币，就冲到了那个比特币地址。

得到解密后的文件：

运行这个程序：

大约1小时后比特币地址格式，程序运行完毕，终于可以打开文件了。 松了口气，赶紧找了个移动硬盘备份重要的东西。 用杀毒软件杀毒。 但是我发现每个盘下的一级目录的快捷方式并没有删除，只是自己删除了。

我的文件终于可以打开了。

总之，把文件拿回来就好了，希望不要有后遗症。 后面还是需要清理电脑，格式化，重装系统。

这次事故的教训：

一定要备份，话不多说，泪流满面。 有了后援，就不会受到别人的威胁。

不要在网上乱订东西，尤其不要乱装东西。 谨慎对待 Chrome 提出的问题。

如果你在木马中打开了一个文件，那么这个文件就不会被加密。 我有一个当时开放的词，没有受到影响。

在网上搜了一下spora，发现是俄罗斯产的。 最新版本尚未破解。 如果你想要文件，你只能付钱，而且只接受比特币。

我发现有人在 localbitcoins 上买了它。 这里是外场环境，价格比其他地方高。 因为其他中国比特币交易市场目前由于一些系统升级无法转出（就像网上彩票一样，你懂的），验证起来也很麻烦。 localbitcoins是线下交易，对于我这种没玩过比特币的人来说还是比较简单的，虽然贵了点。