WannaCry爆發(fā)以后，安全專家正應(yīng)付得焦頭爛額，一波未平、一波又起，國外某些用戶的電腦又遭到了第二波攻擊，他們的電腦屏幕上跳出了以下信息：
>>> ALL YOUR PERSONAL FILES ARE DECODED 
Your personal code: XXX
To decrypt your files, you need to buy special software.
Do not attempt to decode or modify files, it may be broken.
To restore data, follow the instructions!
You can learn more at this site:
hxxps://4ujngbdqqm6t2c53[.]onion.to
hxxps://4ujngbdqqm6t2c53[.]onion.cab
hxxps://4ujngbdqqm6t2c53[.]onion.nu
If a resource is unavailable for a long time to install and use the tor browser.
After you start the Tor browser you need to open this link hxxp://4ujngbdqqm6t2c53[.]onion
（你的個(gè)人文件已被加密；個(gè)人識(shí)別碼：{唯一的ID號(hào)}要想解密文件必須購買專用軟件。千萬不要嘗試解碼或修改文件，否則一切后果自負(fù)。想要恢復(fù)文件，務(wù)必遵循以下步驟！
更多信息請(qǐng)?jiān)L問以下鏈接：{基于洋蔥網(wǎng)絡(luò)的網(wǎng)頁}。若該資源長時(shí)間無法正常安裝，可使用洋蔥瀏覽器。打開洋蔥瀏覽器后訪問以下鏈接{TOR URL}）
一、基本介紹
這種病毒被稱為UIWIX——勒索軟件最新的家族成員，利用的是與WannaCry相同的漏洞。但UIWIX不像WannaCry那樣具備kill switch，其作用是阻止病毒的傳播，也就是說UIWIX只會(huì)不斷進(jìn)行自我復(fù)制，這種破壞連病毒的開發(fā)者也無法阻止。當(dāng)然也有專家提出反對(duì)觀點(diǎn)，認(rèn)為UIWIX并不是一種SMB蠕蟲，其背后黑客只是手動(dòng)利用漏洞并展開感染，不具有像蠕蟲那樣極強(qiáng)的傳播能力。
UIWIX首先會(huì)掃描硬盤并檢測所有目標(biāo)文件。它能夠加密九十多種類型的文件，包括文檔、圖片、檔案。加密文件名稱中會(huì)出現(xiàn)“.UIWIX”的后綴。也就是說假如您有一個(gè)名為example.exe的文件，病毒會(huì)將其重命名為example.exe.UIWIX。我們還是能夠能看到文件圖標(biāo)，但無法打開。好消息是，該病毒不會(huì)加密和操作系統(tǒng)相關(guān)的關(guān)鍵文件。因此至少我們還是可以通過電腦尋找解決方案。但壞消息是目前還沒有免費(fèi)的解密工具公開。
不過作為受害群眾也不需要太過擔(dān)心，全球成千上萬的安全研究人員都在努力開發(fā)工具。在這里需要著重提醒讀者的一點(diǎn)是：千萬不要支付贖金！UIWIX背后的黑客要求受害者支付0.12比特幣（約220USD）來購買所謂的解密工具。之所以選擇比特幣正是因?yàn)樗�的不可追蹤性。如果你付了錢也沒有收到解密程序，那么神仙也幫不了你了。所以，千萬千萬不要付贖金！你面對(duì)的是破壞社會(huì)規(guī)則的犯罪分子，指望他們會(huì)公平交易，你也太天真了。 

 
二、感染方式
UIWIX的開發(fā)者利用的也是Windows系統(tǒng)中的SMBv1和SMBv2漏洞，也就是被稱為“Shadow Brokers”的黑客組織所泄露的“永恒之藍(lán)”漏洞。Windows用戶都要為操作系統(tǒng)和軟件打好補(bǔ)丁，以免感染。微軟甚至還為WindowsXP、Win8、Windows Server 2003這些不再提供更新服務(wù)的用戶推出了修復(fù)補(bǔ)丁。另外，UIWIX可能也會(huì)通過被入侵的遠(yuǎn)程桌面連接進(jìn)行攻擊。一些專家認(rèn)為該惡意軟件也可能會(huì)采用郵件附件的方式進(jìn)行傳播感染。因此建議大家都要保持百分之百的警惕來預(yù)防UIWIX這些勒索軟件。
如果被感染了怎么辦？天無絕人之路。你是否有在其它設(shè)備上備份系統(tǒng)？如果有，那么我們就可以輕松地恢復(fù)文件。但是在恢復(fù)之前的首要任務(wù)還是要把UIWIX先刪除，否則它還是會(huì)把你剛剛恢復(fù)的文件進(jìn)行加密，甚至損壞你的備份設(shè)備。因此我們需要使用一個(gè)可信的反病毒軟件來刪除UIWIX。或者你也可以按照我們的步驟進(jìn)行手動(dòng)刪除，清理設(shè)備并開始定期備份系統(tǒng)。只有這樣，才能預(yù)防勒索軟件的卷土重來。
三、UIWIX刪除向?qū)?/span>
第一步：通過帶網(wǎng)絡(luò)連接的安全模式刪除UIWIX
請(qǐng)按照以下說明操作。切記在安全模式下完成反病毒軟件的運(yùn)行后，恢復(fù)正常模式進(jìn)行重復(fù)掃描。
重啟電腦，開啟“帶網(wǎng)絡(luò)連接的安全模式”（Safe Mode with Networking）。
Windows 7 / Vista / XP
1. 單擊開始→關(guān)機(jī)→重啟→OK
2. 當(dāng)電腦處于活動(dòng)狀態(tài)時(shí)，多次按住鍵盤上的F8按鈕，直到跳出“Advanced Boot Options”（高級(jí)啟動(dòng)選項(xiàng)）
3. 選擇列表中的“Safe Mode with Networking”

 
Windows 10 / Windows 8
1. 在Windows登錄界面上按電源按鈕
2. 按住Shift鍵，然后單擊重啟
3. 選擇疑難解答→高級(jí)選項(xiàng)→啟動(dòng)設(shè)置→重啟
4. 一旦計(jì)算機(jī)進(jìn)入活動(dòng)狀態(tài)，在啟動(dòng)設(shè)置窗口中選擇“Enable Safe Mode with Networking”

 
第二步：刪除UIWIX
登錄至受感染帳戶并啟動(dòng)瀏覽器。下載反間諜程序。確保在最新狀態(tài)下對(duì)系統(tǒng)進(jìn)行全面掃描，同時(shí)刪除惡意文件，最終完成UIWIX的清理工作。
如果勒索軟件阻止Safe Mode with Networking。那么我們可以通過以下方法作進(jìn)一步嘗試。
利用System Restore（系統(tǒng)還原）完成惡意軟件的清理，請(qǐng)遵循以下步驟。
第一步：重啟電腦，開啟Safe Mode with Command Prompt（帶命令提示符的安全模式）
Windows 7 / Vista / XP

1. 點(diǎn)擊開始→關(guān)機(jī)→重啟→OK
2. 當(dāng)你的電腦進(jìn)入活動(dòng)狀態(tài)后，多次按住F8，直到跳出Advanced Boot Option界面（高級(jí)啟動(dòng)選項(xiàng)）
3. 在列表中選擇Command Prompt

 
Windows 10 / Windows 8
1. 在Windows登錄界面上按電源按鈕
2. 選擇疑難解答→高級(jí)選項(xiàng)→啟動(dòng)設(shè)置→重啟
3. 一旦計(jì)算機(jī)進(jìn)入活動(dòng)狀態(tài)，在啟動(dòng)設(shè)置窗口中選擇“Enable Safe Mode with Command Prompt

 
第二步：恢復(fù)系統(tǒng)文件與設(shè)置
Command Prompt頁面跳出后，輸入cd restore再按Enter鍵

 
再輸入rstrui.exe,按Enter鍵

 
跳出一個(gè)新的窗口，點(diǎn)擊“Next（下一步）”，選擇UIWIX入侵之前的還原點(diǎn)，再點(diǎn)擊“下一步”。

 

點(diǎn)擊“Yes”開始進(jìn)行系統(tǒng)還原。

 
如果系統(tǒng)還原到被攻擊之前的狀態(tài)后，請(qǐng)使用反病毒軟件對(duì)計(jì)算機(jī)進(jìn)行掃描，確保UIWIX已被成功刪除。
四、Bonus：數(shù)據(jù)恢復(fù)
上面的步驟主要是刪除UIWIX。下面我們將介紹如何恢復(fù)加密文件的方法，方法提出者是2-spyware.com的安全專家。
到目前為止，UIWIX的解密方法尚未被研究出來，因此我們采用其它方式來恢復(fù)你的數(shù)據(jù)。
1. 使用Data Recovery Pro來拯救被UIWIX加密的文件
下載Data Recovery Pro（http://www.2-spyware.com/download/data-recovery-pro-setup.exe）
根據(jù)安裝指南完成安裝
啟動(dòng)并掃描計(jì)算機(jī)上被UIWIX加密的文件
恢復(fù)文件
2. Windows的歷史版本功能能夠幫助恢復(fù)舊的文件版本
找到需要恢復(fù)的加密文件
右擊，選擇“屬性”并轉(zhuǎn)到“以前的版本”選項(xiàng)卡
檢查“文件夾版本”中文件的每個(gè)可用副本
選擇要恢復(fù)的版本，單擊“恢復(fù)”
3. 合法的UIWIX解密器尚未正式發(fā)布
千萬不要購買某些黑客販賣的非法UIWIX解密器，因?yàn)檫@有可能是另一種惡意軟件，反而會(huì)更大程度地破壞你的計(jì)算機(jī)。我們應(yīng)時(shí)刻警惕勒索軟件，同時(shí)也建議使用知名的反間諜軟件，如：Reimage、Plumbytes Anti-Malware或Malwarebytes Anti Malware。