【勒索病毒｜自救｜Ransomware for qewe】中了勒索病毒不想付贖金，卻有重要檔案需要恢復，可參考本文做法

勒索病毒 *.qewe的「_readme.txt」文字檔內容

最近中油、台塑跟力成科技相繼傳出中了勒索病毒，想必會引發一些警示作用，讓大家在使用電腦及網路時會更加小心。但不幸的是，我中勒索病毒的時間比他們都早一些（4/28），在剛重灌好系統時，做了不該做的事（不好說），悲劇就發生了。幾乎所有檔案都被加了後墜 *.qewe，並且每個資料夾都出現一個「_readme.txt」的文字檔，內容不外乎就是付款贖檔案，72小時內乖乖付錢還享有優惠價格...。

想當然爾我沒有付贖金，否則也不會寫這篇了，雖然電腦有一些重要資料以及將近二十年的數位相片、影片，但此風不可長（任性不想付款）。人生中第一次中勒索病毒，光是在網路上查詢就花了不少時間，所以分享一下，不確定適用多少類型，但從 2017 年到現在，都有看到用這種方式把檔案救回來的，下圖也是我實際操作後恢復的情況。

底下就直接說了，方法有兩種，但原理一樣，都是「還原（修復）」，由於不是一般的解密途徑，基本上資料恢復不會達 100%，但低估抓 85% 是有的，如果本身硬碟太老舊還剛好有壞軌，恢復的 % 數可能還會再低一些些。

一、系統還原檔：還原到被加密前的時間
如下圖所示，我 4/28 被勒索加密，就選擇比 4/28 那天還早的版本做還原即可。但可惜如前面所述，我才剛灌好系統不久，所以並沒有先前的版本可以還原。如果你也碰巧沒有先前版本，可以繼續往下看

二、在磁區沒被自己覆寫前，用「檔案修復軟體」復原
我使用的檔案修復軟體是 EaseUS Data Recovery Wizard，用檔案修復軟體要切記一個原則，就是「📌不可以覆寫重要資料的磁碟磁區」。另外，如果平常習慣雲端檔案安裝用戶端工具使用的話，那雲端的檔案也會連帶遭殃，記得用戶端工具先行移除，並且先安裝一個免費防毒軟體應急一下，防止修復好的檔案再次被加密。所以在開始之前，你至少需要：
✅ 一套檔案修復軟體（譬如：Recuva｜EaseUS Data Recovery Wizard）
✅ 移除雲端同步的用戶端工具
✅ 安裝防毒軟體（若有勒索資料夾保護請善用）

這種修復方式大致上可分三種做法，依自己的膽量與記憶力做選擇

1）所有硬碟格式化 + 重灌系統
先說，我自己不是使用這種方式，因為第一次中勒索病毒，所以我用了最謹慎也最冗長的方式（後面會說）。這種方式可能需要跟梁靜茹借大量的勇氣，雖然理論上對硬碟做一般格式化，確實磁區都還會有殘留檔案，但前提是你必須確定自己沒做額外的移動覆寫或低階格式化，步驟大致如下：

 重灌系統（同時格式化所有硬碟，或重灌完再格式化其他硬碟也行）
　　★ 一般格式化就可以，切勿使用低階格式化覆寫
 使用「檔案修復軟體」掃描硬碟磁區，全數修復或選擇修復覺得重要的檔案
　　★ 不同檔案修復軟體的掃描顯示結果不一，可能不會顯示原有路徑跟檔名，如果不選擇全數修復，你會需要良好的記憶力跟運氣
2）若剛好有備而不用的閒置硬碟，使用它來放置修復後的檔案
檔案修復軟體都有兩個特性

 被覆寫的磁區修復無用（被覆寫只能修復出後面覆蓋的資料）
 修復救援後的檔案，不能存放在來源碟，即修復 D 槽要存放在 D 槽以外的硬碟
了解上述兩項特性後，假設要修復的為 D 槽，就直接使用修復軟體把 D 槽的掃描結果，全數修復擺到閒置硬碟上，等待修復完畢再慢慢整理即可。

3）若沒有多餘硬碟，原有硬碟空間也不足該如何挪動修復？
這真是相當棘手，我個人就是這種情況，更糟的是其中一顆硬碟還有黃色警示 05、C5。硬著頭皮處理起來，除 C 槽外，我還有 4 顆硬碟，大概都剩下 ¼ 的硬碟空間，為了有所進展，我刪除了大量一直待整理但沒整理的無用資料，最終讓渡出大約 500GB 的空間，然後開始緩速的重複以下步驟

 使用 EaseUS Data Recovery Wizard 掃描 G 槽
 將要修復的檔案，存放到那 500GB 挪出來的空間（ D 槽）裡
 將修復後的檔案整理歸位至 G 槽原有空位（原有空位不覆寫）
 再次挪空 D 槽 500GB 的空間
 繼續選擇要修復的檔案，以此類推不斷重複
為什麼我不直接格式化所有硬碟後再全數直接修復？因為硬碟容量很尷尬，剛好依序是 250GB、500GB、1TB、2TB 這樣...，如果我直接格式化 2TB 那顆，那它的修復還原該丟給誰？一時之間也只好先這麼處理，否則好多檔案都無法正常開啟。再次提醒 ... 這種「修復檔案」的做法有一個副作用，所以建議要有點拉長戰線的心理準備。

💊 副作用：以軟體工具修復檔案的方式來還原加密前的狀態，有很高的機率，會在軟體掃描後，呈現不熟悉的路徑與檔案名稱，導致恢復後的檔案需要很大量的時間重新整理過，尤其恢復的檔案量很大的話。能夠不付贖金恢復固然值得高興，但其實這樣的整理實在相當考驗耐心。
由於目前我自己都還在疲於奔命的整理已經恢復的檔案，撰寫及表達可能顯得有點凌亂，但原則上就是「還原」或「修復」，先這樣，有時間跟機會的話再回頭修正了。

補充一些檔案修復後的整理參考方向，如前面所述，修復的檔案會產生沒依照原路徑、檔名的情況，以相片為例，在不確定的情況下，可能會有多餘修復的選取，導致工具會依照 EXIF 再還原一份以相機模組為命名的相片，所以或多或少都會有「重複修復」的檔案出現，這會產生較大的整理難度，可透過幾種工具來微幅的壓縮整理時間，譬如：

📒 資料銷毀
修復後仍確定要刪除的檔案，可銷毀處置，以防後續再度修復回來。我使用 Eraser，可參考「徹底刪除硬碟檔案資料, 個人資料不外洩」。

📒 勒索防護
若勒索中毒後尚未重灌系統，建議用防護保護已經整理好的資料匣。我使用 Avast，因為它直接有勒索防護資料匣的功能。

📒 重複核對
將重複、相似度高的檔案核對後予以刪除。我使用 dupeGuru，跟 AllDup 相比核對速度快很多，步驟也更簡單明快。可參考「dupeGuru 高效率刪除重複檔案，免費軟體支援 Windows Mac」

📒 相片管理
以 EXIF 的時間序來自動管理並分類相片，要注意的是若磁區格式非 NTFS，同一個資料夾底下不能放太多檔案，情況允許的話，還是要自己新增資料匣來分類整理一下。大多數人推的是 Adobe Lightroom，但我暫時先使用免費版的 PlayMemories Home。