记一次亲身体验的勒索病毒事件 StopV2勒索病毒

昨天给笔记本装了 windows server 2016 操作系统，配置的差不多之后，想使用注册机激活系统。使用了几个本地以前下载的注册机激活失败后，尝试上网搜索。

于是找到下面这个网站（这个网站下载的注册机是勒索病毒，千万不要在这里下载）

下载的注册机运行后，电脑自带的defender提醒危险，我心想注册机提示危险也正常，直接给关了，由于刚装系统，电脑还没装360等杀毒软件。注册机运行后，自动启动cmd，执行时间明显比以前用的注册机时间长。

右下角弹出一个带进度条的 windows update 弹窗，提醒我需要更新系统，期间不要关闭电脑，我寻思激活系统还需要更新？有点怀疑但还是没关闭。（其实病毒已经开始加密文件了）

https://www.freebuf.com/column/200907.html

期间自动打开浏览器，进入了一个色情游戏（到这里我又感觉有点不对了，但是没有足够重视），由于游戏是英文的，我随便点了点不会玩就关了。

右下角进度大概到了百分之二十多，时间大约过去十几分钟，我实在不想等了，想着网上买个激活码也就十几块钱，不折腾了，于是我尝试弹出移动硬盘（之前的注册机在硬盘里，真是后悔当时插着硬盘，还好重启的早，硬盘文件损失较小），提示文件占用，于是我直接拔了硬盘线，电脑弹出提示，好像是硬盘里一个文件修改失败了（其实病毒开始加密我的硬盘文件了，此时电脑所有硬盘文件已被加密），我有点纳闷，怎么提示这个？！然后我直接把电脑重启了。在这期间，我去某宝买了个激活码，十几块钱，马上到货。

开机之后我使用买的激活码激活系统，但是激活失败，拍照给商家，商家说是使用过kms，只能通过电话激活或者重装系统，我说我重装吧（反正刚重装的，还windows update了乱七八糟的补丁），于是去电脑里找之前用的系统iso，发现文件后缀都变成了.nppp

当时感觉后背发凉，但还是不敢想太多，把后缀改回来，但是改回来也打不开。把其他文件后缀改回来也无法正常打开，文本文件打开后是乱码！于是我拍照问商家，商家说不知道，我想了想可能是勒索病毒（哎，当时真是心里咯噔一下），想起之前插着移动硬盘，更是心凉了半截，用另外一台电脑打开移动硬盘，根目录多了个_readme.txt，打开后，发现果然是勒索病毒。

多打开几个文件夹，发现有点被加密了，有的没有加密，目录少于三、四层的都被加密，超过的没有被加密，还好我硬盘文件多，有份文件夹习惯，大多重要文件所在路径层数较深，逃过加密的命运，由此可见这个加密病毒是按文件夹广度遍历的。

我下载360卫士，申诉了勒索病毒解密服务，然后用360解密大师尝试揭秘，失败！去360社区反应，加360勒索病毒服务群，都没有解决。使用360网站检测加密文件，说是stopV2勒索病毒，目前无法解密。

https://lesuobingdu.360.cn/

去国外网站查.nppp，找到了相关解密网站，下载解密软件，解密失败，说是使用的线上密码，无法解密。

网站说这个病毒比较新，今年2月开始大量流行。网站还说不要灰心，以前大部分病毒都被解密，可以先备份文件，等以后除了解密工具再解密。

https://sensorstechforum.com/nppp-virus-file-remove/

网站最后提到一款文件恢复软件可能有用，但是我下载后发现也没用，还要收费

第二天 360通过qq联系了我，告知这个病毒目前无法解密，还给了我建议，这点360做挺好，对用户负责。

最后，我把加密的文件备份了，打算重装系统。

另外我发现了这个病毒的一点特性，有些文件夹、文件不会被加密

文件夹：

Intel、Log、PerfLogs、Program Files、Program Files (x86)、ProgramData、Windows、Windows.old、Games

（没想到这个病毒还会规避游戏文件夹，难道是对废宅的关爱？？？）

文件：

没有后缀的文件、.dll

上网查了一下，许多勒索病毒对 C:\Windows、Program Files、Program Files (x86) 也不加密。原因大概是避免系统不能用、提高加密效率。

所以防御勒索病毒的一个简单的方法是把重要文件放到上面几个名称的文件夹下。

通过这次经历，感受到了病毒的可怕，以后要提高警惕，不能随便下载运行程序，不能随便关闭杀毒软件了！！！