從5月12日爆發至今,名為wannacry的勒索病毒讓全球數十萬windows計算機中招,黑客将使用者計算機中的重要檔案實施加密,并索要贖金解鎖。這種情況如果發生在企業伺服器當中,那麼将帶來嚴重損失。
對此,阿裡雲安全團隊經過不懈努力研究,終于找到解救被wannacry病毒劫持的計算機的辦法。
5月20日,阿裡雲安全團隊向雲上、雲下伺服器使用者開放勒索病毒“一鍵解密和修複”工具。
經過實際測試,如果被勒索後未重新開機作業系統,該工具可以恢複已被wannacry勒索病毒加密的檔案。
阿裡雲建議,在勒索病毒“中招後”,不要馬上關閉、重新開機作業系統,也不要去手工清除病毒,直接使用該修複工具嘗試恢複資料。
一、适用範圍
該工具适用于雲上、雲下windows伺服器作業系統使用者。
作業系統版本包括:windows server 2003、windows server 2008。
二、工作原理及研究基礎
本次釋出的修複工具基于wannakiwi項目的研究成果:既通過搜尋記憶體中的資料,擷取解密的關鍵素數來進行資料解密。
阿裡雲安全團隊在此研究基礎上,進行調試和封裝,讓工具簡單易用。
二、如何恢複
請按以下步驟進行操作:
1、按照文末給出的連結,下載下傳修複工具到被加密的伺服器或pc機器上。
2、輕按兩下運作,如下圖所示:
3、點選“恢複檔案”按鈕,執行檔案恢複功能,期間執行時間會較長,請耐心等待。
4、恢複資料完畢後,點選“清除病毒”按鈕,清理掉蠕蟲病毒程式及服務。
三、注意事項
在大多數情況下,加密的檔案可以被成功恢複。
也有因記憶體資料被二次寫入,覆寫原有加密狀态時的資料,導緻資料恢複不成功的案例。
這是因為,該工具通過暴力搜尋記憶體中的資料,擷取解密的關鍵素數來進行資料解密。一旦重新開機或手工清除會導緻該資料被覆寫,則永久無法直接解密。
不過,如果使用該工具時,出現資料解密失敗,不會對系統造成任何影響。
此外,使用者也可以選擇使用磁盤資料恢複軟體來嘗試恢複資料。
本文轉自d1net(轉載)