http://www.bleepingcomputer.com/forums/t/501540/ransomcrypt-dirtydecryptexe-uses-efs/
另外剛看到用改登錄的方式,把一個執行檔移除,這個解法不知道可不可行
https://www.youtube.com/watch?v=Iw6-rkvL6zM#t=11
河魨 wrote:
性質上跟這個滿像的,...(恕刪)
很像,應該是同一作者幹的,
出了新版的病毒,因為舊版的病毒指向的server掛了,原因不明,
因此出了新版病毒,更新ip,再出來賺錢.
有人有這毒的檔案嗎?
有的話,我可以分析確定一下.
不過,呵呵,也有可能是其他高手做出來的,關鍵技術已經公開了要仿並不是難事.
但是原文居然寫"首先該做的就是拔掉網路線,盡可能及早中斷加密程序,為自己爭取更多的時間和機會。"

這不知道是哪個專家寫的?
程式再跑你拔掉網路線,這是搞笑的行為,
當你確定是這隻病毒再跑,懂程式的要立刻去kill process
不懂得就立刻關機,確定有人可以開機後,馬上替你幹掉這process比較重要.
拔掉網路線,病毒還在運作,加密key再程式內就會有了,根本不需要連上網才能加密.
只有解密才需要連網取得解密key.
拔掉網路線根本無濟於事.
這專家就像再教人掩耳盜鈴,不知是哪來的專家.