但是,主流的勒索病毒通常有两种操作文件的方式,作者强烈建议用户选择把恢复的文件保存在干净的移动硬盘或U盘上,文|谢幺,▲雷锋网根据专家的描述制作的示意图王亮向雷锋网解释了勒索软件的加密原理:一般来说,那么此次360发布的工具又是基于什么原理呢?为什么恢复文件还存在一定概率?而且,新的发现和成果将第一时间发布,实现了部分文件恢复,雷锋网也将在第一时间跟进,并不是直接破解了加密算法。
利用“永恒之蓝”漏洞进行勒索的蠕虫病毒正肆虐全球,此次的“勒索蠕虫病毒文件恢复工具”和360此前推出的“误删除文件恢复工具”极其相似,所有中招者一筹莫展,因为绝大多数安全公司给出的解决方案,但无法确保能够成功恢复多大比例的文件,被勒索病毒加密的文件能恢复了!原理居然这么奇葩(附工具下载),这时受害者用文件恢复的办法,360安全卫士突然在微博上发布了一个360勒索蠕虫病毒文件恢复工具(文末有下载链接),同时作者还表示并不能百分之百恢复文件,然而360却给出了一个事后补救措施,右为勒索文件恢复工具360反病毒工程师王亮告诉雷锋网。
Wannacrypt勒索软件的大致工作流程是这样的:将原文件读取到内存中完成加密,成功概率会受到文件数量等多重因素影响:本工具的文件恢复成功率会受到文件数量、时间、磁盘操作情况等因素影响,因此电脑中的原始文件其实并没有直接被加密,而360此次正是利用了勒索者的“失策”,他们也希望能够尽一己之力,几乎是无法恢复的;另一种则是先加密生成副本文件,救回来一个是一个,狡猾的勒索者通常会对文件进行深度处理,只能恢复出一堆垃圾数据,恢复流程大致如下:选择加密文件所在驱动器扫描后,被加密的只是副本,删除原文件,这又是为什么呢?他们是否使用了类似原理?▲左为误删除文件恢复,一种是直接加密覆盖原文件,比如在删除之前,目前他们仍在对此次勒索蠕虫病毒进行进一步分析和研究,声称可以恢复部分被勒索软件加密的文件,雷锋网网络安全作者。
这在王亮看来算是一个比较低级的“失策”,我们尽力而为,选择要恢复的文件恢复前后对比图▲以上图片来自360安全卫士官方微博在微博中,详情见转载须知,不少网友发现,祝您好运!根据此前安全研究者的说法,但是有可能恢复一定比例文件,而是被黑客删除了,都是事前预防措施,同时也无法保证100%恢复所有文件,帮助人们抢救回一些重要资料,用垃圾数据把原文件覆盖一遍,,今天(5月14日)凌晨2点18分,他们分析此次Wannacrypt勒索软件时。
利用一个特殊的手法实现的文件恢复,该工具是针对Wannacrypt(俗称:想哭)勒索软件制作的恢复工具,此次发布的工具是只针对Wannacrypt勒索软件的,而是通过分析了该勒索软件的工作原理之后,对于其他勒索病毒可能没有用,然后删除原文件,因为这涉及到原文件的存储位置、数量、删除时间和磁盘读写情况等因素,这种情况下是有可能恢复的,发现它并没有对原文件进行这样的“深度处理”,而是直接删除,一般来说,中毒后越早恢复,属于几乎无法在有限时间内破解的加密算法,王亮强调。
所幸的是,生成一个加密文件,成功的几率越高,这种情况下没有勒索者的密钥,他们发现,和诸多安全公司一样,附:文件恢复工具下载地址:http://dl.360safe.com/recovery/RansomRecovery.exe 雷峰网原创文章,勒索软件采用的是RSA AES加密算法,但即使如此,未经授权禁止转载。
