系统城

Wannacrypt勒索病毒加密原理分析|蠕虫勒索病毒文件可以恢复

发布时间:2017-05-15 18:01:47    浏览数:600

利用Windows“永恒之蓝”漏洞进行勒索的蠕虫病毒正肆虐全球,所有中招者一筹莫展,因为绝大多数安全公司给出的解决方案,都是事前预防措施。但是有很多用户已经饱受病毒的摧残,苦不堪言,360安全卫士在微博上发布了一个360勒索蠕虫病毒文件恢复工具,声称可以恢复部分被勒索软件加密的文件,360“勒索病毒”文件恢复工具使用方法

360“勒索病毒”文件恢复工具

该工具是针对Wannacrypt(俗称:想哭)勒索软件制作的恢复工具,并不是直接破解了加密算法,而是通过分析了该勒索软件的工作原理之后,利用一个特殊的手法实现的文件恢复。

目前Wannacrypt勒索软件的大致工作流程是这样的:
将原文件读取到内存中完成加密,生成一个加密文件,删除原文件。
因此电脑中的原始文件其实并没有直接被加密,而是被黑客删除了,被加密的只是副本。

Wannacrypt勒索软件的大致工作流程

勒索软件的加密原理:

一般来说,主流的勒索病毒通常有两种操作文件的方式,一种是直接加密覆盖原文件,这种情况下没有勒索者的密钥,几乎是无法恢复的;另一种则是先加密生成副本文件,然后删除原文件,这种情况下是有可能恢复的。

但是,狡猾的勒索者通常会对文件进行深度处理,比如在删除之前,用垃圾数据把原文件覆盖一遍,这时受害者用文件恢复的办法,只能恢复出一堆垃圾数据。

所幸的是,他们分析此次Wannacrypt勒索软件时,发现它并没有对原文件进行这样的 “深度处理”,而是直接删除。这看来算是一个比较低级的 “失策”,而360此次正是利用了勒索者的 “失策”,实现了部分文件恢复。

此次发布的工具是只针对Wannacrypt勒索软件的,对于其他勒索病毒可能没有用,同时也无法保证100% 恢复所有文件,因为这涉及到原文件的存储位置、数量、删除时间和磁盘读写情况等因素。但即使如此,帮助人们抢救回一些重要资料,救回来一个是一个。

相关教程: WPS怎么设置多个页眉页脚 几个步骤教你 PPT2021怎么设置文件保存格式 操作方法 CorelDRAW怎么制作暗角效果 友玩陪玩APP怎么入驻 快加入陪玩大家庭 WPS软件文字中表格如何排序_这里教给你

相关阅读

手机版   |   电脑版
Copyright @ 2011 系统城 版权声明 最新发布内容
fetch('https://api.xitongcheng.com/api/flow/model/article/category_id/146/model_id/33656/admin_id/0/type/0/domain/mip').then(function (res) {})