电脑中敲诈者（要70块钱）的病毒，怎样把数据恢复！救命呀！很重要的！

敲诈者

2006年6月11日，国内首例旨在敲诈被感染用户钱财的木马病毒被江民公司反病毒中心率先截获。该病毒名为“斗隐族敲诈者”(Trojan/Agent.bq)，病毒可恶意隐藏用户文档，并借修复数据之名向用户索取钱财。江民反病毒中心目前已接到感染该木马不同变种的用户报告。

江民反病毒专家介绍，“敲诈者”木马运行后，在系统目录下将自身复制为redplus.exe，空弊大小200KB左右。建立快捷方式"开始菜单\所有程序\附件\修复硬盘资料"，并指向病毒程序。

病毒在本地磁盘根目录下建立一个属性为系统、隐藏和只读的备份文件夹，名为“控制面板.{

21EC2020-3AEA-1069-A2DD-08002B30309D}”，同时搜索本地磁盘上的用户常用格式文档（包括.xls、.doc、.mdb、.ppt、.wps、.zip、.rar），把搜索到的文件移动到上述备份文件夹中，造成用户常用文档丢失的假象。

病毒为了达到敲诈的目的，还会生成一名为“拯救硬盘.txt”的文本文件，内容如下：

1.

你的硬盘资料丢失了，是因为手机的强电磁流影响了硬盘的正常读写

2.

你必须使用磁盘修复工具拯救找回丢失的资料文件

3.

但是，你正在使用的携旦不是正版软件，是盗版

4.

你必须拯救修复丢失的资料，并且尽快购买正版的软件，

5.

点击左下角

[

开始

],

点击

[

所有程序

],

点击

[

附件

],

点击

[

修复硬盘资料

]

6.

为了确保你能尽快修复全部资料，必须在两小时内迅速办理,

7.

按以上方法做的，一定能修复的资料包括:

被隐藏的文件名称

病毒同时在“开始菜单\所有程序\启动”菜单下建立指向“拯救硬盘.txt”的快捷方式，这样每次系统启动，用户都会看到上述文本内容。

如果中毒用户按照"拯救磁盘.txt"中描述的步骤，运行病毒文件redplus.exe后，则显示如图所示的敲诈文字，内容大致为要求中毒用户向某指定的工行账户内汇入70元人民币，并向指定的手机号码发送相关短信。

该木马运行时，还会试图结束除几个系统进程外的所有程序，达到终止反病毒软件和病毒分析工具的目的。

江民反病毒专家介绍说，前几个月，国外曾经出现过一系列对用户文档加密后进行敲诈的恶意木马，但在国内没有感染报告。此次被截获的“敲诈者”（Trojan/Agent.bq）可以确定为国内首例旨在敲诈勒索钱财的病毒，该病毒疑为国内作者制造，并专门针对中文用户。

针对该木马，江民公司已经紧急升级了病毒库，请将KV系列杀毒软件的病毒库升级到最新，即可全面防御该病毒侵害。更多病毒资料请登陆江民反病毒资讯网http://www.jiangmin.com查询。

先我们看到电脑中的文件进行感染，文件已经被加密，无法打开。

请点击输入图片描述

打开数据恢复软件，在界面找到找到“误格式汪局化硬盘”选项点击进入。

请点击输入图片描述

点击后跳转至盘符选择界面，选择我们被感染加密文件所在的盘符分区，点击下一步。

请点击输入图片描述

此时软件会对硬盘分区盘符进行扫描，耐心等待完成扫描，扫描过程中请勿中断扫描。

请点击输入图片描述

扫描结束后我们可以看到扫描结果，如果是图片或者文本文档能够进行内容预览，勾选要恢复的文件，如果想要恢复全部文件，可以点击“全选”，选择全部文件，然后点击“下一步”。

请点击输入图片描述

点击“浏览”按钮选择文件恢复后的储存位置，点击下伏陵缓一步。

请缺模点击输入图片描述

耐心等待恢复成功跳转至恢复成功界面，点击“打开目录”即可看到我们被加密的文件已经恢复了。

请点击输入图片描述

END

注意事项

恢复后将文件备份，重装系统，避免再次感染。

截止2006年6月16日，被江民反病毒中心率先截获的敲诈者病毒已经造成近百人感染。病毒备模哪恶意隐藏用户文档，并借修复数据之仿码名向用户索取钱财。虽然目前杀毒软件可以防杀该病毒，但已经中毒的用户，杀毒后被隐藏的文件需要借助手工修改注册表或使用专业恢复工具才能恢复，普通用户 *** 作起来具有一定的技术难度。

为了让染毒用户自己也能手工修复被隐藏的文件，江民科技反病毒中心特别研发了“敲诈者”病毒查杀和修复工具，普通电脑用户借助该专杀和修复工具，也可以自己动手修复被病毒隐藏的文件。

据悉，“敲诈者”木马运行后，在系统目录下将自身复制为redplus.exe，大小200KB左右。病毒同时在“开始菜单\所有程序\启动”菜单下建立指向“拯救硬盘.txt”文本的快捷方式，这样每次系统启动。如果中毒用户用户按照"拯救磁盘.txt"中描述的步骤，则会运行病毒文件redplus.exe，中毒者会被要求向某指定的工行账户内汇入70元到200元不等的人民币。

江民反病毒专家介绍，目前江民反病毒中心已经截获该病毒的两个病毒，用户只需升级杀毒软件到最新病毒库即可有效防杀该病毒及其变种，已中毒用户可以下载专杀和修复工具手工恢复被隐藏的文件。

国家计算机病毒应及处理中心通过对互联网的监测发现一个新的木马程序

" 敲诈者"（Trojan_Agent.BQ）。该木马程序以敲诈勒索钱财为目的，使得感染

该木马的计算机用户系统中的指定数据文件被恶意隐藏，造成用户数据丢失。截

至目前为止，在码知国内已经出现了因感染该木马程序而导致计算机系统数据文件丢

失的情况。

以下为该木马程序的详细情况：

病毒名称：敲诈者（Trojan_Agent.BQ）

病毒类型： 木马程序

其它命名：TrojanSpy. Agent.bq（江民）

Win32.Troj.Pluder.A.5473744（金山）

Trojan.Disclies.e（瑞星）

TROJ_PLUDER.A（趋势）

感染系统：Windows 9X/Me/NT/2000/XP

病毒介绍：

该木马程序运行后，可恶意隐藏计算机用户系统中的文档，同时在系统里出

现可以帮助计算机用户修复丢失掉的数据信息的文本文件“拯救磁盘.txt”，

目的是向受感染的计算机用户索取钱财。

1、生成病毒文件

计算机用户一旦受到该木马程序的感染，会在系统目录%System％下生成自

身的拷贝，名称为redplus.exe。（其中，%System%在Windows 95/98/Me 下为

C:\Windows\System，在Windows NT/2000下为C:\Winnt\System32，在Windows

XP下为 C:\Windows\System32）

2、生成文本文件“拯救硬盘.txt”

木马程序进入受感染计算机用户的系统以后，会在“开始\所有程序\启

动”里生成一个文本文件“拯救硬盘.txt”，其内如如下：

当用户按照“拯救磁盘.txt”中描述的步骤，运行redplus.exe后，会显示

3、隐藏文档

该木马程序一旦被运行以后，会在计算机系统根目录下建立属性为系统、

隐藏和只读的备份文件夹“控制面板”，同时它会搜索计算机系统中所有后缀

名为.xls、.doc、.mdb、.ppt、.wps的文件，找到后把这些文件移动到备份文

件夹中，这样计算机用户的数据文件就被隐藏起来，表面上看起来是系统中上

述文件丢失了，已达到向受感染的计算机用户索取钱财的目的。

4、终止进程

该木马程序运行时，还会试图终止除几个系统进程之外的所有系统正在运

行的进程程序。如果计算机系统中装有反病毒软件和一些病毒分析工具，木马

也会将其进程终止，以达到保护自己的目的。

手动解决方法：

1、打开工具选项—〉文件夹选项—〉选择显示所有文件和文件夹并且将隐藏

受保护的 *** 作系统文件前的√去掉。

2、将根目录下的名为“控制面板”隐藏文件夹用WinRAR压缩，然后启动

WinRAR，切换到该文件夹的上级文件夹，右键单击该文件夹，在d出菜单

中选择"重命名"。

3、去掉文件夹名“控制面板”后面的ID号{21EC2020-3AEA-1069-A2DD-

08002B30309D}，即可变为普通文件夹了；也可直接进入该文件夹找回丢

失的文件。

目前，北京江民公司、瑞星公司、趋势科技公司和金山公司已经能够检

测、清除该木马程序。国家计算机病毒应及处理中心提醒广大计算机用户如

果感染这种木马程序或者发现新的变种程序，请及时与我中心联系求助并提

供病毒样本。

---