2026-07-15 115 次
文件后面多出陌生后缀:.lockbit、.conti、.rar1、.crypt、.hk、.zzz、.maze、.phobos等;文档、图片、压缩包、Excel、Word、PDF全部打不开。
原文件图标异常;双击文件提示格式错误、文件损坏。
桌面、文件夹内出现勒索说明文件,名字一般是:README.txt、HOW‑TO‑DECRYPT.txt,里面包含比特币钱包地址、Tor暗网链接,要求付款解密文件,出现这个100%确定勒索病毒。
短时间内大量文档、图片、源代码、网站素材、客户资料逐个加密;
系统盘、D盘、移动硬盘、U盘里面文件全部遭殃;
文件夹本身不变,但是里面文件被加密。
CPU占用突然飙升,磁盘100%占用,硬盘疯狂读写,磁盘灯不停闪烁;
笔记本风扇高速转动、电脑明显发烫;GPU占用无故拉高。
注意:加密程序会后台静默遍历全部磁盘文件,磁盘占用长时间100%是勒索病毒非常典型表现。
打开任务管理器,重点查看下面情况:
出现名称随机字母数字的exe进程(例如 sdjfh34.exe);
进程路径在:%temp%、下载文件夹、AppdataRoaming里面;
不知名程序大量读取各个目录文件;
出现PowerShell、cmd、wmic后台频繁启动,并且持续读写文件; 黑客经常借助powershell后台执行加密程序。
在任务管理器‑资源监视器里发现程序大量访问境外IP(俄罗斯、伊朗等地区);
系统自动访问Tor节点、代理服务器;
电脑向外大量发起外网连接。
杀毒软件被自动关闭,Windows Defender防护被禁用;自己手动开启安全防护会自动失效;
系统还原点被自动删除,系统备份文件被清除;勒索病毒第一件事就是干掉备份;
组策略被篡改,防火墙配置被修改;
电脑里出现陌生计划任务,定时启动未知程序;
浏览器主页被篡改,浏览器下载目录出现不知名exe文件。
Windows事件查看器 → Windows日志‑安全、应用程序日志:
大量陌生程序执行记录;PowerShell执行事件;从临时目录启动程序。
查看最近安装程序:控制面板‑程序,看最近有没有不知名软件。
检查启动项:任务管理器启动页面,有无未知程序开机自启。
检查注册表:HKEY‑CURRENT‑USERSoftwareMicrosoftWindowsCurrentVersionRun,出现随机命名程序基本就是木马。
你的电脑主要风险来源:
破解软件、PJ版程序、绿色版工具、激活工具;
客户发来的压缩包、exe文件、JS脚本;
网站源码压缩包、插件、破解版建站程序;
远程桌面端口3389对外开放、弱密码;
U盘拷贝文件;
钓鱼邮件附件。
如果你经常下载破解版软件、把3389端口暴露公网,中勒索病毒概率极高。
立刻拔掉网线,断开网络,关闭电脑;不要继续开机,开机越久加密文件越多;
不要支付赎金:80%付完钱不给解密密钥,黑客拿到钱之后继续勒索;
把硬盘拆下来挂载到干净电脑,不要双击打开磁盘;
全盘格式化系统盘,资料盘如果没有备份大概率无法恢复;
以后重要文件做异地备份(移动硬盘脱机备份或者云盘定时备份)。
任务管理器:磁盘是否长期100%占用;
看文档文件后缀有没有异常扩展名;桌面有无勒索文档;
查看系统日志,有没有陌生程序运行。
3389远程端口不要对外开放,如果非要使用,修改端口号+设置复杂密码;
网站源码定期离线备份;备份硬盘平时断开电脑;
尽量少用破解版软件;安装火绒安全软件,开启勒索病毒防护;
重要文件开启Windows文件历史记录。