上週六中了病毒 最新的版本。詳情如下： 早上6點多的時候 上了一個網站下載了一個程式設計器的軟體 由於年代太久遠此程式不能在win7 系統下執行 提示找不到什麼 dll 等其他錯誤。後來為了找新版就找了幾個不太靠譜的下載網站。點選連結一看檔名是exe 就沒下。然後接了個電話 沒關網頁就出門去了。等晚上回來的時候 桌面已經變成了 提示資訊。然後用滑鼠點選任何應用程式的視窗 對應的應用程式 就會發生錯誤 程式退出 因為 我出門前打開了很多的程式 有 瀏覽器 word 還有兩個網遊的客戶端。我感覺可能是記憶體不夠了所以就重啟機器。 結果無論那種模式都啟動不了 只能到賬戶登入介面 賬戶的圖示還是空白。點選後無法進入桌面。 無奈下 用隨身碟 啟動pe檢視，發現沒每個目錄下都有 三個 檔名包含“”read me“”的副檔名分別是 doc txt url 其他檔案 字尾 都變成了 cerber3 。上網搜尋 知道是中了 病毒。但是跟現有的有點區別。首先是 提示檔名不一樣 是 read me 而不是 decrypt my file ，副檔名是 cerber3 上面說 這個是8月30 號最新的變種 。而我這個估計更新。第二加密的檔案型別更多了。這個變種的作者更加瘋狂。現在我的機器上除了 rmvb exe dll 其他常見的檔名都被加密而且改名了。型別更多而且還能對區域網上共享的檔案也進行加密 。這是關鍵第三 對系統的破壞 ，多數中毒的機器都能啟動 而且上面說是重啟以後進行的加密操作。我的顯然不是這樣。 由於病毒對c盤的內容也進行了加密 所以造成了系統無法啟動。我對加密的檔案進行了分析。 被加密的檔案大約有 20萬個，容量總共3000g 本機1000g 網路共享的檔案 2000g 。對這些檔案全部讀取一次 所用的時間一天都不夠。因為自用的檔案伺服器 速度很慢 網路的速度也很慢。 一天之內全部加密 根本不可能所以我查看了檔案的容發現變化不大。直接把副檔名改回去就能恢復一部分資料 。（待續）由於檔名被改寫了所以不知道檔案型別。所以找了幾個大副檔名 改成mkv 結果 直接就能播放。 但是也有一個不能播放的 。經過檢視開頭有pdf 字樣 經過對比加密後的檔案 和加密前的檔案 發現如下 檔案不是全部加密 檔案頭部的512 位元組沒有加密。512 位元組以後的內容加密了幾十個位元組 隨後跳過一部分 加密一部分，加密和不加密的部分交替出現，塊與塊之間的距離逐漸增大，被加密的資料塊的大小也逐漸增加。具體到我分析的這個檔案 900兆大小 總共加密了8兆 左右。另外一個較小的幾十k 的txt 檔案卻不符合這個規律。用寫字板開啟加密後的檔案 除了頭幾行之外後面的全部都是亂碼。加密後的檔案大小也發生了改變 對齊到了某一個大小。最後的結果就是 影片檔案 大部分可以播放 壓縮包的話能解壓出部分檔案。