中了勒索病毒 peng

一，中招

早上一上班，看到电脑屏幕显示这样的壁纸。

 居然中招了？不敢相信。

我发现自己的网盘里的所有文件，都被加密并改名，形如 aaaa.jpg.[[VlDy9dk2RaQ1F]].[[Ruiz@firemail.cc]].peng

 

 而且这些文件，都已同步到了网盘，通过手机app访问，也只能看到这些。

二，求助

紧急发到2个电脑相关的微信群，群友们没有什么好办法。

然后联系了万能的淘宝，淘宝上有一家专业处理勒索软件的公司

 

 

 4个小时后，回复我：需要3.3万元。

 在此期间，我查了一下，网上也有其它报道

根据网页批示，打了电话 400-008-8983，询问能否处理。对方先问我是数据库文件，还是普通文件，我说是office类和图片类的普通文件。他说，这个需要五、六万元。

三、原理

 

四、自救

 我的重要文件都在坚果云上。早上查了一下，所有.peng后缀的文件，都没有旧版本的历史文档。当时觉得麻烦了，为什么没有历史文档呢？

后来想明白了：peng文件本来就是新文件，当然不会有以前的版本。

病毒把原始文件删除了，而这些文件，在坚果云的“回收站”里一个月内是可以找到的。

五、马脚

从电脑上的蛛丝马迹，我慢慢开始查找。

第1，查找所有 .peng 的文件

按时间排序后，可以看出，加密破坏是从 昨天晚上 19:15 开始的。

（中间过程略） 

 

kdesk是我电脑上安装的元气壁纸软件。它在昨晚19:15下载了一大批exe文件。这一时间点与我的文件被加密破坏完全吻合。

在我查找证据的过程中，kdesk文件夹里有一个文件一直不断地更新，看样子不停地在下载最新版本（现在是4:54pm）：

 

就是说，后台有一个什么进程，持续不断地悄悄下载。这时我已经把元气壁纸相关的进程关停了，所以应该还有其它的什么东西在工作。

另外，在我的每一个逻辑硬盘根目录，都有一个提醒文件，修改日期是 昨天 20:58

 

 在注册表中查找 kpdfsdk 字符串，一开始就找到：

 这种ContextMenuHandlers形式的键出现了十几次。然后：

 转换一下，activity_time 为 2025-09-18 00:01:47，menu_show_time 为 2025-09-18 09:17:07

注意到这个键所在目录为 kyqwppdf（我猜应该是Kingsoft Yuan-Qi WallPaper的缩写），上网查了一下：

 好像是元气桌面的一个合作伙伴，做pdf阅读器的？

继续

下面，扒一扒这个键的键值 {13492E52-263B-4162-9065-CCBCEF0052EA}

 前面这个文件的老巢里，有一个线索：

 cmcm.com 域名属于猎豹移动，其前身是金山网络。

看kdesk的注册表项目，果然是cmcm旗下：

 

 

网上关于元气桌面的评论居然扯到了金山。有意思：

 

 

 

 

 

 

（未完，取证先到这里）

 20250919 上午。继续。发现桌面上多出来2个图标：

 看第1个，找到它所在的文件夹：

 看，又是9月17日19:15