利用“永恒之藍”漏洞進行勒索的蠕蟲病毒正肆虐全球,所有中招者一籌莫展,因為絕大多數安全公司給出的解決方案,都是事前預防措施。然而 360 卻給出了一個事後補救措施。今天(5月14日)淩晨2點18分,360安全衛士突然在微網誌上釋出了一個360勒索蠕蟲病毒檔案恢複工具(文末有下載下傳連結),聲稱可以恢複部分被勒索軟體加密的檔案。恢複流程大緻如下:
選擇加密檔案所在驅動器
掃描後,選擇要恢複的檔案
恢複前後對比圖
▲以上圖檔來自360安全衛士官方微網誌
在微網誌中,作者強烈建議使用者選擇把恢複的檔案儲存在幹淨的移動硬碟或u盤上。同時作者還表示并不能百分之百恢複檔案,但是有可能恢複一定比例檔案,成功機率會受到檔案數量等多重因素影響:
本工具的檔案恢複成功率會受到檔案數量、時間、磁盤操作情況等因素影響。一般來說,中毒後越早恢複,成功的幾率越高。
我們盡力而為,但無法確定能夠成功恢複多大比例的檔案。祝您好運!
根據此前安全研究者的說法,勒索軟體采用的是 rsa + aes 加密算法,屬于幾乎無法在有限時間内破解的加密算法,那麼此次360釋出的工具又是基于什麼原理呢?為什麼恢複檔案還存在一定機率?而且,不少網友發現,此次的“勒索蠕蟲病毒檔案恢複工具”和360此前推出的“誤删除檔案恢複工具”極其相似,這又是為什麼呢?他們是否使用了類似原理?
▲左為誤删除檔案恢複,右為勒索檔案恢複工具
360反病毒工程師王亮告訴雷鋒網,該工具是針對 wannacrypt (俗稱:想哭)勒索軟體制作的恢複工具,并不是直接破解了加密算法,而是通過分析了該勒索軟體的工作原理之後,利用一個特殊的手法實作的檔案恢複。
他們發現,wannacrypt 勒索軟體的大緻工作流程是這樣的:
将原檔案讀取到記憶體中完成加密,生成一個加密檔案,删除原檔案。
是以電腦中的原始檔案其實并沒有直接被加密,而是被黑客删除了,被加密的隻是副本。
▲雷鋒網根據專家的描述制作的示意圖
王亮向解釋了勒索軟體的加密原理:
一般來說,主流的勒索病毒通常有兩種操作檔案的方式,一種是直接加密覆寫原檔案,這種情況下沒有勒索者的密鑰,幾乎是無法恢複的;另一種則是先加密生成副本檔案,然後删除原檔案,這種情況下是有可能恢複的。
但是,狡猾的勒索者通常會對檔案進行深度處理,比如在删除之前,用垃圾資料把原檔案覆寫一遍,這時受害者用檔案恢複的辦法,隻能恢複出一堆垃圾資料。
所幸的是,他們分析此次 wannacrypt 勒索軟體時,發現它并沒有對原檔案進行這樣的“深度處理”,而是直接删除。這在王亮看來算是一個比較低級的“失策”,而360此次正是利用了勒索者的“失策”,實作了部分檔案恢複。
王亮強調,此次釋出的工具是隻針對 wannacrypt 勒索軟體的,對于其他勒索病毒可能沒有用,同時也無法保證100%恢複所有檔案,因為這涉及到原檔案的存儲位置、數量、删除時間和磁盤讀寫情況等因素。但即使如此,他們也希望能夠盡一己之力,幫助人們搶救回一些重要資料,救回來一個是一個。
和諸多安全公司一樣,目前他們仍在對此次勒索蠕蟲病毒進行進一步分析和研究,新的發現和成果将第一時間釋出。雷鋒網也将在第一時間跟進。
本文轉自d1net(轉載)