利用Windows“永恒之藍(lán)”漏洞進(jìn)行勒索的蠕蟲病毒正肆虐全球,所有中招者一籌莫展,因?yàn)榻^大多數(shù)安全公司給出的解決方案�,都是事前預(yù)防措施。但是有很多用戶已經(jīng)飽受病毒的摧殘���,苦不堪言���,360安全衛(wèi)士在微博上發(fā)布了一個(gè)360勒索蠕蟲病毒文件恢復(fù)工具,聲稱可以恢復(fù)部分被勒索軟件加密的文件���,360“勒索病毒”文件恢復(fù)工具使用方法�����。
該工具是針對(duì)Wannacrypt(俗稱:想哭)勒索軟件制作的恢復(fù)工具����,并不是直接破解了加密算法�����,而是通過分析了該勒索軟件的工作原理之后,利用一個(gè)特殊的手法實(shí)現(xiàn)的文件恢復(fù)����。
目前Wannacrypt勒索軟件的大致工作流程是這樣的:
將原文件讀取到內(nèi)存中完成加密,生成一個(gè)加密文件�����,刪除原文件��。
因此電腦中的原始文件其實(shí)并沒有直接被加密�,而是被黑客刪除了,被加密的只是副本�����。
勒索軟件的加密原理:
一般來說��,主流的勒索病毒通常有兩種操作文件的方式����,一種是直接加密覆蓋原文件,這種情況下沒有勒索者的密鑰�����,幾乎是無法恢復(fù)的;另一種則是先加密生成副本文件���,然后刪除原文件��,這種情況下是有可能恢復(fù)的���。
但是,狡猾的勒索者通常會(huì)對(duì)文件進(jìn)行深度處理����,比如在刪除之前����,用垃圾數(shù)據(jù)把原文件覆蓋一遍,這時(shí)受害者用文件恢復(fù)的辦法���,只能恢復(fù)出一堆垃圾數(shù)據(jù)����。
所幸的是�,他們分析此次Wannacrypt勒索軟件時(shí),發(fā)現(xiàn)它并沒有對(duì)原文件進(jìn)行這樣的 “深度處理”�,而是直接刪除����。這看來算是一個(gè)比較低級(jí)的 “失策”�,而360此次正是利用了勒索者的 “失策”,實(shí)現(xiàn)了部分文件恢復(fù)�。
此次發(fā)布的工具是只針對(duì)Wannacrypt勒索軟件的,對(duì)于其他勒索病毒可能沒有用�����,同時(shí)也無法保證100% 恢復(fù)所有文件�,因?yàn)檫@涉及到原文件的存儲(chǔ)位置、數(shù)量����、刪除時(shí)間和磁盤讀寫情況等因素。但即使如此�����,幫助人們搶救回一些重要資料���,救回來一個(gè)是一個(gè)����。
