这是一篇很无奈的文章,小编也曾经遇到过类似的情况,即带U盘去文印店打印,随后使用U盘的时候发现U盘的文件已经被完全上了锁,具体表现为除了文件夹之外,所有文件要么消失,要么变成了后缀名为exe的可执行文件,到底该怎么办鸭,我的期末论文还在里面呢。。。
原因分析
很可能是文印店的电脑中了病毒,在我们插上U盘的时候,电脑病毒检测到可移动设备并将其感染,使得U盘文件被封锁,但是这个病毒只是封锁,又不要比特币来解锁,这就很尴尬了
现状排查
所有文件均被加密成exe可执行文件,可能会出现autokit或者hypertrim这一类的玩意儿,杀毒软件报毒
如下或者其他
经过检查发现,在PE环境下,文件其实并没有被加密,而是被深度隐藏,这些exe文件只是复制品,所有文件其实还都在,那么想到了解决方法
方法1:PE环境恢复文件
- 首先需要一个U盘PE环境用来恢复文件,先进入PE系统,这是已经可以看到病毒源文件
- 把U盘里的源文件拷出来,
- 彻底格式化U盘,
- 把源文件拷进去,解决完毕
方法2:在本机环境下恢复文件
- 首先在桌面创建一个记事本文件
- 将以下代码复制进记事本
-
@echo offreg add"HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v Hidden /t reg_dword /d 1 /f reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 0 /f reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d 1 /f attrib -s -r -h -a /s /d attrib *.* -s -r -h -a /s /d attrib * -s -r -h -a /d /s pause - 保存文件,将记事本扩展名更改成
bat - 右键点击用管理员方式打开
- 然后就可以在u盘里看到源文件了,把源文件拷出来
- 按照方法一格式化或者把病毒文件彻底删除即可
拓展阅读:为何方法二能解决问题
其实是利用命令行的方式将系统中深度隐藏的文件全部设为显示状态,这样就可以暴露文件,而传统的在文件夹设置中的显示隐藏文件是不可以显示这种深度隐藏的文件的,故利用这一方法暴露病毒,恢复源文件
如何避免中毒
尽量在文印店不要用U盘进行拷贝读写工作,如果用qq不要输入密码,使用二维码扫码,微信比较好,直接扫码使用,若有360浏览器,登陆网页版邮箱使用浏览器虚拟键盘输入密码也是可以的
此外文件一定不要只保存在U盘里,本机备份、异地备份也相当重要