我认为您不会再看到这些文件，除非您有备份。

您可以在此处查看您被要求支付的比特币地址的交易历史。如您所见，总共有 303 笔交易，其中许多是针对 1 BTC 的。

这意味着相同的比特币地址已提供给多个受害者。这反过来意味着肇事者不可能知道谁付了钱，以及应该发送什么加密密钥。（因此，我想这是对屏幕截图的奇怪要求。）

因此，要么他们在处理赎金方面无能，要么更有可能他们没有恢复任何文件，而只是从越来越多的钱中榨取受害者。如果他们没有恢复任何文件，当你可以用随机垃圾覆盖它们时，为什么还要费心加密它们呢？

因此，无论您是否付款，这些文件都可能消失了。

编辑：评论中有一些优点。尽管有缺陷，但屏幕截图可能会用作付款证明。即使付款不会导致解密，文件仍可能被加密。

但即使考虑到这一点，除非弹出针对此特定版本勒索软件的补救措施，否则您不太可能恢复您的文件。Nkals 的答案与此类补救措施的存储库有很好的链接。

编辑 2：这篇Troy Hunt 博客文章遵循了关于勒索和比特币的类似推理。

编辑 3：最近的 WannaCry 爆发让我重新考虑了这个答案。显然 WannaCry 使用了三个硬编码的比特币钱包，但人们似乎仍然将他们的文件解密。所以我认为这个答案的基本假设是错误的。

第一道防线：备份。从那里恢复文件。如果可用，这有 100% 的成功机会。

否则：希望勒索软件没有禁用/绕过 Windows Shadow Copy 服务，并且它一开始就处于活动状态。选择其中一个文件，右键单击，属性，“以前的版本”。是否有攻击前的先前版本？

如果不是：希望原始文件被删除而不被覆盖，并且不被删除，这是最简单的方法，一次一个；或者如果发生这种情况，Windows空间分配策略会尽可能长时间地让原始空间未被使用，而不是将每个新的加密文件分配给上一轮删除的原始文件；这意味着您需要磁盘有超过 50% 的可用空间。运行文件取消删除实用程序（例如 Piriform 的Recuva）。

有时，您感兴趣的文件可能在勒索软件攻击之前已经删除了以前的版本。这些删除的版本虽然不是最新的，但可能很有价值，并且无法看到它们（它们已被删除），勒索软件不应该加密它们。

否则：唯一的办法就是攻击者的“善意”。可悲的是，您已经验证它不起作用，这也预示着其他可能性。骗子的利益是提供，让他们的其他受害者放心，有时还可以让您再次感染并在一个月后再次挤奶。如果他们没有，很可能他们不能（1）。

最后，最遥远的希望：将加密磁盘保存在安全的地方并在新磁盘上重新安装。假设攻击者是善意的，并且数据确实是加密和可恢复的，而不是仅仅被随机噪声或不可恢复的 (2) 替换，可能会在一周、一个月或几年内发生，无论是命令和 -控制服务器将被关闭并恢复密钥，或者加密策略中会出现错误并且有人会编写恢复工具（这已经发生，对于三个勒索软件系列......不幸的是，几个）。一些数据可能是可以恢复的。

2016/12 更新：（一些）CryptoLocker 3 解密可能。

(1) 编写勒索软件并不容易——或者“正确”地这样做；一种更简单的方法是修改现有的，以便它使用他们的比特币帐户和一次性电子邮件，而不是原始作者的那些。当然，他们没有真正接收加密密钥并将其返还给付费受害者所需的所有基础设施——他们只是在运行一个快速赚钱的计划。他们尽其所能地榨取受害者，却无法真正将文件还给他们。

(2) 例如，因为他们确实使用了系统的加密例程，但他们管理不善或在传输过程中丢失了密钥。或者因为，参见前面的说明，这根本不是他们的勒索软件。

欧洲刑警组织有一个带有联系表格的网页，您可以使用该表格来检查您朋友的问题是否有可用的解决方案。

https://www.nomoreransom.org/

我没有使用过它，但您可能会对趋势科技的这个免费工具感到幸运。

• https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor

它似乎会定期更新，因此即使文件今天无法解密，它们也可能在未来的某个时候解密。