可以利用反删除软件找回被 WanaCry 勒索蠕虫加密的文件么?

2017-05-14 23:29:08 +08:00
 acess
知乎上好像已经有人成功了。360 已经出了一个“勒索蠕虫病毒文件恢复工具”,看上去好像就是反删除工具。
看来,勒索作者虽然搞了个大新闻,但实际上还是有很大疏漏啊,居然忘记擦除原先未加密的那份文件。
不过,不是说已经有变种了么?对于各种变种是不是都有效?
4826 次点击
所在节点    问与答
12 条回复
wevsty
2017-05-14 23:46:40 +08:00
反删除软件有一定的作用吧,但是具体能有多大作用也很大程度的取决于运气。
terence4444
2017-05-14 23:52:57 +08:00
很大程度取决于磁盘空闲容量,磁盘空闲容量越大,被找回的几率越大。比如如果磁盘剩余空间小于 10%,那 90% 的文件必然找不回来。
flynaj
2017-05-15 01:16:59 +08:00
看运气,固态硬盘基本恢复的概率为零,机械硬盘看剩余空间
opnb
2017-05-15 01:29:37 +08:00
完全不能,你支这些病毒厂商又无耻的在欺骗民众了
为了防止硬盘空间不够的意外,WanaCry 都是原地写入的, 加密数据覆盖到原来的位置
而不是愚蠢的生成一个新文件再把旧的删掉

什么反删除软件屁用都没有,知乎上吹牛逼的垃圾一堆堆的
其素质早就跌到和微信朋友圈一个水准了
zander
2017-05-15 06:34:59 +08:00
半桶水瞎折腾。
lneoi
2017-05-15 08:09:05 +08:00
360 已出软件。就是把之前的删除恢复工具改个名
acess
2017-05-15 08:25:53 +08:00
@zander LZ 确实是外行……如果这贴只起到增加噪音的作用,把它沉了我也没啥好说的……
murmur
2017-05-15 09:04:10 +08:00
如果是这样,证明这病毒太恶毒了,不是加密文件而是删除文件后改用随机内容覆盖,这的却比算 DES 快
acess
2017-05-15 09:07:13 +08:00
@murmur 我记得文件粉碎工具也是先覆盖文件内容再删除吧,Linux 下的 shred 甚至不会帮你删文件,只帮你覆盖。文件删了,具体占用哪些 block 不就难以定位了吗?就算能定位,难道要绕过操作系统……把可用空间(按照 Eraser 软件的情况,可能还需要包括 cluster tip ?)全部覆盖一遍肯定也行,但更麻烦。
peng1994
2017-05-15 10:27:17 +08:00
如果硬盘有一半以上的空间,应该可以恢复出来大部分文件吧
acess
2017-05-15 10:33:24 +08:00
@peng1994 虚拟机测试,虽然离加密只过去几分钟,但仍然有文件损坏。
所以……我觉得不太乐观。
如果是 SSD,大概直接会被 TRIM 掉……
lovelynn
2017-05-15 12:58:36 +08:00
事实上只能恢复一部分,因为病毒是删除部分做勒索恢复的示例。加密的是没办法恢复的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/361311

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX