我最近被要求查看一台行为异常的 Windows 计算机，我发现了一个“你的文件已被加密”的勒索字条，它被留在了几个目录中。我无法识别任何实际的加密文件，除了一份已被另一种勒索软件加密并留下另一张便条的勒索便条副本。

赎金记录以 3 种格式存在：纯文本文件、HTML 文件和.url指向支付网页的快捷方式（文件）。

我能够阅读其中的一些文件，但其中一些（第二个勒索软件的注释和第一个勒索软件的 HTML 文件）在任何尝试打开它们时立即消失。然后，System Center Endpoint Protection 通知我，它已识别并隔离了它们。我必须从隔离区中恢复它们并禁用其实时扫描才能读取它们。

在我看来，这是一个激烈的行动。就好像阅读笔记会造成进一步的损害，而实际上恰恰相反：阅读笔记是您解密文件的机会非零的唯一方法！

它不只是将他们视为“普遍可疑”——它明确表示他们是Ransom:HTML/Tescrypt.A，Ransom:HTML/Crowti.A因此它有足够的信息来做出更好的决定。

另一方面，阻止受害者阅读赎金记录可被视为“禁止谈判”的硬性规则。如果受害者无法联系，加密勒索行业的利润将减少，也许这一事实将阻止未来的事件发生，这将是一个明确的长期利益。至于现在的受害者，嗯，不能保证坏人拿到钱后真的会放弃解密密钥……

射击人质是反病毒行业的官方政策吗？