MBR勒索是把一段shellcode写入到磁盘引导里面,使得开机时不能正常引导进入系统,平常遇见的MBR勒索病毒都是易语言大手子写的模块,供其他人使用,只要是勒索就肯定会有恢复的方式,所以今天就写一篇手动修复MBR的文章
首先运行一个MBR勒索病毒,直接写MBR重启电脑
重新进入系统时界面上就显示了一个QQ号,很简洁
键盘输入会显示,这是一个典型的MBR勒索
我们不知道密码不能进入系统,想要手动恢复的话我们需要一个能够进入PE系统的PE盘,具体如何做PE盘,这里不做讲解
进入PE系统,运行BOOTICE
下图可以看到首扇区已经不是正常的引导,而是变成了勒索信息,遇见这样的我们不要慌张,只要不是像彩虹猫那样专门破坏MBR的病毒,一般勒索都是可以还原的
一般易语言MBR勒索通常都是把引导信息放在第三个扇区,我们跳转到第三个扇区看看,果然引导信息在这里
这样的我们直接把第三个扇区的数据覆盖到第一个扇区上即可,不过为了避免意外,我们将前几个扇区先备份一下,备份完成后,我们把第三个扇区的数据覆盖到第一个扇区上,覆盖完成,点击保存
打开分区管理,分配盘符,分配到C盘
然后重启电脑,这时已经可以正常进入系统