（总结）Windows服务器被感染勒索病毒.adobe，目前数据已恢复

1、发现服务器中毒，文件后缀被修改为.adobe，如下图

2、黑客留下勒索信息，如下图（all your data has beed locked us you want to return? wirte email [email protected]）

3、通过查询发现加密文件10W多个，确认服务器所中病毒为最新的crysis勒索病毒。

4、通过专业的安全数据恢复公司进行分析，该勒索病毒使用加密的shellcode，在shellcode中利用换体技术对程序地址空间进行修改，以达到干扰杀毒软件的查杀和对抗二进制分析的目的。在做二进制分析的时候，没有发现勒索软件有网络数据产生，推测是黑客的C&C服务器已经关闭了。它的主要功能是提示受害人如何联系黑客、如何获得比特币、如何完成支付等信息。

5、勒索者回复的邮件，后面没有理他

6、导致被感染勒索病毒原因有如下几点
（1）、服务器未关闭445、135、139、3389等端口
（2）、服务器密码简单，没有禁用GUEST来宾帐户
（3）、服务器没有打勒索病毒补丁
（4）、服务器杀毒软件未更新，且被停用