欢呼吧!WannaCry勒索病毒加密的文件能恢复了!
2017-05-15 02:10:32 -0400

csngmap语:其实只是有希望恢复,恢复成功率会受到文件数量、时间、磁盘操作情况等因素影响。一般来说,中毒后越早恢复,成功的几率越高。别怪我标题党,这锅得360背…

利用“永恒之蓝”漏洞进行勒索的蠕虫病毒正肆虐全球,所有中招者一筹莫展,因为绝大多数安全公司给出的解决方案,都是事前预防措施。

然而 360 给出了一个事后补救措施。

今天(5月14日)凌晨2点18分,360安全卫士突然在微博上发布了一个360勒索蠕虫病毒文件恢复工具(文末有下载链接),声称可以恢复部分被勒索软件加密的文件。恢复流程大致如下:

选择加密文件所在驱动器



扫描后,选择要恢复的文件

在微博中,作者强烈建议用户选择把恢复的文件保存在干净的移动硬盘或U盘上。同时作者还表示并不能百分之百恢复文件,但是有可能恢复一定比例文件,成功概率会受到文件数量等多重因素影响:
根据此前安全研究者的说法,勒索软件采用的是 RSA + AES 加密算法,属于几乎无法在有限时间内破解的加密算法,那么此次360发布的工具又是基于什么原理呢?为什么恢复文件还存在一定概率?

而且,不少网友发现,此次的“勒索蠕虫病毒文件恢复工具”和360此前推出的“误删除文件恢复工具”极其相似,这又是为什么呢?他们是否使用了类似原理?

360反病毒工程师王亮告诉雷锋网,该工具是针对 Wannacrypt (俗称:想哭)勒索软件制作的恢复工具,并不是直接破解了加密算法,而是通过分析了该勒索软件的工作原理之后,利用一个特殊的手法实现的文件恢复。

他们发现,Wannacrypt 勒索软件的大致工作流程是这样的:

将原文件读取到内存中完成加密,生成一个加密文件,删除原文件。

因此电脑中的原始文件其实并没有直接被加密,而是被黑客删除了,被加密的只是副本。
王亮向雷锋网解释了勒索软件的加密原理:
所幸的是,他们分析此次 Wannacrypt 勒索软件时,发现它并没有对原文件进行这样的“深度处理”,而是直接删除。这在王亮看来算是一个比较低级的“失策”,而360此次正是利用了勒索者的“失策”,实现了部分文件恢复。

王亮强调,此次发布的工具是只针对 Wannacrypt 勒索软件的,对于其他勒索病毒可能没有用,同时也无法保证100%恢复所有文件,因为这涉及到原文件的存储位置、数量、删除时间和磁盘读写情况等因素。但即使如此,他们也希望能够尽一己之力,帮助人们抢救回一些重要资料,救回来一个是一个。

和诸多安全公司一样,目前他们仍在对此次勒索蠕虫病毒进行进一步分析和研究,新的发现和成果将第一时间发布。

360勒索蠕虫病毒文件恢复工具.exe (2.92 MiB) | Meta
本文来源: csngmap资源分享大本营版权所有 (开玩笑啦……),磨友转载时请以链接形式注明作者和原始出处…csngmap分享、发表资源也不容易,大家且转且珍惜,至少留个言也好,谢谢合作!
«Newer      Older»
Comment:
Name:
Back to home 电脑软件 /cat/120017