勒索病毒文件恢复工具2.0会杀死病毒进程，导致无法恢复本机私钥

kfne12

表示楼主的大意是看懂了：
就是说既然XP底下找私钥的工具已经出来了，就应该先用私钥解密。干嘛还要结束病毒进程呢。结束了还不一定能恢复。

另外对360的2.0版恢复工具，我个人也表示点看法：喷叔我觉得天下的数据恢复软件不都是那么个原理嘛。要说360的工具智能查找文件名还能理解。说成功率更高我也不懂了。
我个人觉得我自己拿工具手动一个个找文件也可以恢复吧。甚至我用diskgenius深度扫描恢复，也许效果更好。

fakeviolation

360主动防御 发表于 2017-5-22 10:00
感谢楼主反馈，我核实下

到现在还是没动静，微博置顶消息还是那样……
是LZ逗比搞错情况了么？
还是说你们要等友商来吐槽你们才愿意改呢？

360主动防御

fakeviolation 发表于 2017-5-22 19:12
过了9个小时了，还没回复。
我从微博置顶链接下载回来的好像也还是原来的版本（可能是缓存原因吧）。
...

您好，恢复工具如果不杀掉进程会导致恢复的文档二次被加密，如果电脑没重启时可以先考虑用解密工具尝试解密，在恢复不了时再尝试用恢复工具扫描

fakeviolation

360主动防御 发表于 2017-5-23 11:31
您好，恢复工具如果不杀掉进程会导致恢复的文档二次被加密，如果电脑没重启时可以先考虑用解密工具尝试解 ...

但也不是没办法啊，比如，可以把进程挂起，或者先dump一下再杀……你们能想到的办法应该比我能想到的靠谱……你们二次开发的那个WanaKiwi不是已经实现找到私钥后杀毒了么？
我只是建议你们改进一下，比如把微博置顶改一下，还有，就是建议你们把那个冒充微软安全服务的病毒进程干掉，就是它总是扫445端口进行传染。

fakeviolation

360主动防御 发表于 2017-5-23 11:31
您好，恢复工具如果不杀掉进程会导致恢复的文档二次被加密，如果电脑没重启时可以先考虑用解密工具尝试解 ...

就算你们不改，现在也有很多新消息传播的途径，所以，理解能力够好的用户肯定知道先尝试搜索私钥再杀毒。
但我还是觉得改进一下更好，否则可能有用户会误解，先用恢复工具2.0就把进程干掉了，然后哪怕是拼一次RP的机会也没了。

360主动防御

kfne12 发表于 2017-5-22 22:28
表示楼主的大意是看懂了：
就是说既然XP底下找私钥的工具已经出来了，就应该先用私钥解密。干嘛还要结束病 ...

主要是考虑到已经过了7天，不重启电脑的概率非常之低，所以优先推荐的是恢复工具，解密工具局限性太高，属于另一套方案

fakeviolation

360主动防御 发表于 2017-5-23 14:47
主要是考虑到已经过了7天，不重启电脑的概率非常之低，所以优先推荐的是恢复工具，解密工具局限性太高， ...

可是，应该还是有少数新中毒的用户吧？
我也知道WanaKiwi应用的条件苛刻，需要拼运气，但拼一下运气也不影响后续杀毒、数据恢复啊？为啥要放弃一个机会呢？
实在不行你们偷偷把exe换成会先尝试用WanaKiwi的原理搜私钥，再杀毒的版本也行啊……

360主动防御

fakeviolation 发表于 2017-5-23 15:29
可是，应该还是有少数新中毒的用户吧？
我也知道WanaKiwi应用的条件苛刻，需要拼运气，但拼一下运气也不 ...

恩，在这个帖子里改正了，谢谢建议
http://bbs.kafan.cn/thread-2089875-1-1.html

fakeviolation

360主动防御 发表于 2017-5-23 15:42
恩，在这个帖子里改正了，谢谢建议
http://bbs.kafan.cn/thread-2089875-1-1.html

不客气。
不过，卡饭的知名度可能赶不上微博吧……
可能的话，最好还是把微博置顶的指导改一下吧。

weng6698175

360的恢复好像不行，搞个测试机弄了，也是还原不回来