勇敢地拒绝敲诈!手工恢复被锁文件

在网络中的职业敲诈者

现在网上有一批人，专门在网上散布恶意程序。一旦有人“中招”，他电脑中的文档就会被隐藏或者锁住，只有向这些宵小之徒交纳一定数额的所谓“软件注册费”，才能替你把被锁的文档找回来。

文档不翼而飞，敲诈不请自来

今天上班后打开电脑，准备开始当天的工作，无意间发现桌面有一个名为“文件夹隐藏专家”的图标，当时并没有在意。可当我打开WPS准备接着处理昨天没有完成的文件时，怎么也无法调出文档，程序提示:无法找到“我的文档.doc”。请检查文件名的拼写，并检查文件位置是否正确。马上打开“我的文档”目录，发现其中用于存放公司相关文件的目录居然“不翼而飞”。而另外一个新建文件的内容着实让我吓了一跳，原来这个文档是黑客留下的，向我索要100元作为“开锁”费。联想到不久以前曾经在网上看到过黑客利用加密工具隐藏用户的重要文件进行敲诈勒索的事件，心里已经非常明白黑客的用意，就是用我们的钱买回本属于自己的文档。

出老千？教你文件夹“比大小”

今天我偏不信这个邪，非得把自己的文档找回来不可。可是从哪儿开始下手呢？联想到桌面上无缘无故出现的“文件夹隐藏专家”图标，猜想黑客一定是通过这个程序对我的文件进行加密隐藏。

原来，“文件夹隐藏专家”在第一次运行时，会要求用户输入一个登录口令，接着从磁盘目录中选择需要进行加密隐藏的文件夹，然后点击工具栏中的“隐藏文件夹”按钮即可。明白了该程序的加密原理后，我准备着手查找这些被加密的文件。由于不知道黑客是否将这些文档转移到其他目录中，所以首先通过系统的搜索命令，在整个磁盘中搜索DOC格式的文档，结果一无所获。

我决定通过文件对磁盘占用空间大小进行对比，来判断文件所隐藏的位置。既然这些文件是从“我的文档”目录“消失”的，那么我就先从这里开始吧。首先查看“我的文档”目录的属性，从弹出的窗口可以得知已用空间389MB。接着进入“我的文档”，选择所有的文件和文件夹，单击右键的“属性”命令，得到的大小244MB。足足少了144MB，看来这些少了的磁盘可能就是被这些隐藏的文件所占用的。

谁说命令行没用？

找回目录就靠它

既然已经基本明确文件还保存在原处，那么如何找到它们的确切位置呢？记得CHKDSK用参数“/v”可以显示所有文件的完整路径和名称(注意:仅在FAT32分区下可用！)，于是运行CMD打开“命令提示符”，输入“CHKDSK /V F: > C:\HIDE.TXT”这段命令，它们的意思是将F盘中所有的文件和文件夹的情况输出到C盘下HIDE.TXT文件中。打开该文本文件，通过“查找”命令搜索“My Documents”这个关键词，很快就查找到保存在“我的文档”中的那些文件了(见图)。

把文档抢救出来，还得靠命令

虽然得到了隐藏文件的完整路径，但用COPY命令复制它们并没有成功，如果换一条命令行不行呢？在“命令提示符”下还有一个“TYPE”命令，用它把要显示的内容重定向到新的文件中，不就能复制出文件吗？于是在“命令提示符”下运行“TYPE F:\Documents and Settings\whs\Recent\NNN.txt > C:\NNN.TXT”后，隐藏的文件就成功复制出来了。依照这条命令编写一个批处理文件，把所有隐藏文件复制出来就行了。

小知识：为什么命令行可以救出被锁文件

黑客程序怎么把你的文件锁起来的呢？有两种方法，一是用包含特殊字串的文件夹来存放文件，使用户无法直接进入，这类方法用WinRAR浏览此目录就行了；而另一种则是用Hook技术“劫持”文件浏览相关的操作，但往往这类方法会忽略掉诸如命令行之类的“偏方”。