敲竹杠/勒索木马修复方案（附专杀）

心芝雨

首先 说明不管 在逍遥官方群 还是其他地方 有人说和你远程  名义是 逍遥官方人员时一定要看清 QQ是不是群里的管理QQ不是 注意防范
目前敲竹杠勒索木马一共2类，主要现象都是阻止用户正常进入系统/破坏硬盘文件，并引导添加勒索者QQ继而勒索钱财。

尤其是 什么爽歪歪过检查工具之类的
1.  篡改Windows登录密码，并在开机界面提示受害用户联系一个QQ号获取密码

2.  开机黑屏！木马直接破坏硬盘MBR、分区表，开机显示+QQ或特殊图案和勒索ID识别码
（感染该类木马即使进入PE下，分区也可能不显示，此种情况先不要急于重新分区或重装系统，否则可能导致无法修复成功）

                                                                                                     

解决方案
第一类修改Windows密码的情况，提供2种解决办法
方案一：
登陆“360敲竹杠木马开机密码找回”页面，输入对方留下的联系QQ号码（勒索者QQ），自助找回密码（如果没搜到密码请看方法二）
http://fuwu.360.cn/chaxun/qq

方案二：
直接进入PE，运行密码清除工具，直接清除原账户Windows密码（简单粗暴，无副作用）
提供3个PE清除Windows密码工具，PE直接运行下面任1工具（清除密码方法大同小异，下面以其中一款举例）

1.        选择原系统所在分区的Windows目录（Windows\System32\config\SAM为保存密码的数据库）
2.        软件会自动识别系统中存在的账户，更改口令/密码后重启电脑即可正常开机
3.        进入系统后推荐使用360安全卫士或360系统急救箱全盘查杀，清除残留木马

第二类破坏MBR、分区表的敲竹杠修复方案
1.        使用其他正常电脑下载下面2个修复工具，并解压到PE所在U盘
FixRansomMbr修复工具（点击我下载）
360系统急救箱PE版（点击我下载）根据PE版本下载对应位数
2.        进入PE下先运行FixRansomMbr，软件会自动查找并修复MBR和恢复被木马删除的分区
修复完成后重新进入PE（这一步先不要直接进系统，否则部分添加启动项的木马会重新激活）
或PE下直接刷新磁盘确认分区是否恢复显示

3.  系统分区恢复显示后，运行360系统急救箱PE版，扫描系统盘或全盘扫描，查杀完成后重启电脑

4.        FixRansomMbr更新日志：（不定期添加新型MBR勒索木马支持）
如果 以上无法操作 可以试试加 360的技术群 资源 添加技术支持QQ36019585；； 我只能帮助到这里