如果不幸被WannaCry勒索蠕虫加密档案,先不要太绝望,根据TWCERT/CC最新的调查报告,幸运的话仍有机会以磁碟修复工具救回部分档案。
自上周五开始在全球肆虐的WannaCry勒索蠕虫,在周末短短两天内就让灾情迅速扩及全球150国数十万台电脑。WannaCry勒索蠕虫一旦侵袭电脑,就会立即搜寻电脑的档案,并立即以RSA 2048位元的高等级加密,把档案都加密,藉此勒索受害者等值300美元至600美元的比特币,以赎回解密的金钥。WannaCry会加密的档案种类多达180种以上,除非在被感染后迅速察觉,否则常用的电脑档案几乎都难以逃过一劫。
由于WannaCry採用的2048位元RSA加密是极高等级的档案加密技术,若非取得解密金钥,想要自行尝试解密几乎是不太可能。不过,根据TWCERT/CC最新的调查结果,受害者先不要太过于绝望。台湾电脑网路危机处理暨协调中心于今日(5/16)公布《WanaCrypt0r勒索软体行为分析》调查报告,在监控分析该勒索软体的运作历程之后,发现WanaCrypt0r勒索软体对档案加密的方式,是有机会让受害者救回部分被加密的档案。
TWCERT/CC的调查发现,WanaCrypt0r勒索软体是先将原始档案读取到记忆体,于记忆体中运行档案加密,完成加密后即产出另一个加密过的档案副本,接着勒索软体再删除原始档案,由于只是删除原始档案并不会彻底抹除该档案,透过磁碟修复软体就可以轻易复原,因而WanaCrypt0r採取新增一个与遭删除的原始档案相同大小的档案,并将之改为WNCRYT副档名,企图覆盖被删除档案原本所在的磁碟位置,让磁碟修软体无法复原。
WannaCry勒索蠕虫的加密方式,是将原始档案读取到记忆体进行加密,新增加密后的档案副本,再删除原始档案。
然而,覆写档案的抺除效果并不如磁碟低阶格式化来得彻底,事实上覆写档案并无法保证能够完全抹除档案。经过TWCERT/CC以Piriform Recuva磁碟修复工具实测,确定能够成功救回部分被加密的档案。不过必须注意的是,目前一般电脑所配备的硬碟容量都很大,以磁碟修复工具回复需要花费不少时间。
测试档案已经被WannaCry勒索蠕虫加密,副档名皆被改为WNCRY。
TWCERT/CC分析WannaCry勒索蠕虫的档案加密特性后,发现有机会以磁碟修复工具救回档案,实测确实成功救回部分档案。
?
相关:
如果不幸被WannaCry勒索蠕虫加密档案,先不要太绝望,根据TWCERT/CC最新的调查报告,幸运的话仍有机会以磁碟修复工具救回部分档案。自上周五开始在全球肆虐的WannaCry勒索蠕虫,在周末短短两天内就让灾情迅速扩及全
原题:预缴档案费人员可申请退费来源:新华网-中国江西网江西省于2015年1月起取消了档案管理费。5月15日,记者从江西省技术工人交流咨询服务中心获悉,6000多名预缴了档案管理费的人员可办理退费。相关人员办理退费需
中了加密勒索病毒怎么办中了加密勒索病毒怎么办勒索病毒文件恢复最简便方法。12日晚,勒索病毒疯狂席卷全球,中国也遭遇了比特币勒索者病毒攻击。中了勒索病毒招的人电脑上的文件全部被锁,需要缴纳赎金才能解锁,到
原题:南昌昌北机场加密至珠海太原等地航线来源:新华网-中国江西网5月5日,记者从南昌昌北机场获悉,南昌机场引入东海航空,新增珠海=南昌=太原,珠海=南昌=沈阳2条航线。据了解,珠海=南昌=太原航班号DZ6233/4,每
Mac OS安全神话破灭!? Mac OS X恶意程式以苹果有效凭证拦截加密流量
示意图,与新闻事件无关。 图片来源: Apple Mac OS比较安全的神话可能要破灭了。安全业者Check Point上周发现首只大规模攻击的Mac OS X恶意程式,获得苹果有效凭证签发,并採取高明手法植入,进而拦截加密网页流量