小池

　

    不久前，一个隐藏电脑文件的恶意勒索病毒在互联网上肆虐，不少读者朋友反映遭受到它的攻击。该木马病毒运行后会将用户的Word文档、Excel表格文件以及RAR和Zip压缩包等重要的文件隐藏，并在桌面上建立一个文件，内容大致为：“你的硬盘资料丢失了……你必须使用磁盘修复工具拯救找回丢失的资料文件，但是，你正在使用的不是正版软件，是盗版 ……尽快购买正版的软件……”。



这个家伙还会在开始菜单的“附件”组中生成名为“修复硬盘资料”的快捷方式。当你运行“修复硬盘资料”程序(恶意程序)后会提示你向一个银行账号汇款，获取“注册码”，能找回硬盘数据。



我们简单分析一下，其实它并没有对文件进行加密，只是利用了系统隐藏属性和CLSID对文件进行了隐藏。病毒会在各盘的根目录下创建一个“控制面版”的文件夹，并将各分区.doc、.xls、.rar、.zip等文件移动到这个文件夹下。

知道了病毒的原理，找回它隐藏的数据就很轻易了。



1打开“我的电脑”，点击“工具→文件夹选项→查看”。选择“显示所有文件和文件夹”，并去掉“隐藏受保护的操作系统文件”前的对钩。



2进入各盘的根目录下，我们可以看到名为“控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D}”的文件夹。由于使用了CLSID，点击这个文件夹的时候会自动进入控制面版。我们将这个文件夹重新命名，去掉后面的那长串字符，再双击就可以进入该文件夹了。被病毒隐藏的文件都在这个文件夹中，并且没有被加密，直接复制到原位置就恢复了数据。

我们还可以让病毒自己“自动”恢复数据。进入“控制面版”文件夹后，会有一个12位数字、字母组合名字的一个文件夹。实际上这个12位的组合就是这个恶意勒索软件的注册码。将这个文件夹的名字复制下来，再将“控制面板”文件夹的名字改回“控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D}”。打开“附件”中的“修复硬盘数据”，在“正版序列号”中输入，点击“修复资料”，数据就被自动恢复了。



近期利用网络安全漏洞进行攻击、敲诈的事件呈抬头之势，用户在遭遇类似的数据勒索时，千万不要给黑客汇款，以免助长他们的嚣张气焰。这里我们提到的数据隐藏原理比较简单，对电脑比较熟悉的用户可以自己操作找回数据。但也有些勒索病毒手段比较恶劣，当你对找回数据没有把握时，一定不要轻易对硬盘做任何操作，联系专家进行修复，以免数据资料丢失。