如果发现自己中勒索了,休眠可以成为一种自救手段么?

2017-05-20 14:24:54 +08:00
 acess
当然,最好还是做好预防,多备份。
不过,看到最近有人提供了 WanaCry 解锁工具,感觉想方设法 dump 出内存还是有可能提高获救概率的(当然,如果倒霉“睡死”了就彻底 GG 了):
https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d
如果 LZ 没理解错,这个解锁工具的原理是:在病毒进程的内存中搜索当初生成本机 RSA 密钥对的质数,然后重建出私钥。本来这个私钥是被勒索蠕虫用硬编码的 RSA 公钥加密了的,必须找病毒作者才可能给解密出来,现在 RP 够好就可以重建出来,然后就可以用它解密每一个被加密文件了(先用 RSA 私钥解密每个文件的 AES 密钥,再用 AES 密钥解密文件数据)。
这个方法利用条件很苛刻,必须让病毒进程稳稳地运行到现在才行,然而杀毒 /重启 /关机都会把病毒进程干掉……

PS:LZ 用 Win7x64 虚拟机试过这个工具,手动指定了 tasksche.exe 的 PID,然而并没有成功搜到私钥……
7661 次点击
所在节点    信息安全
55 条回复
tabris17
2017-05-21 10:34:32 +08:00
通过公钥破解私钥?这也挺困难的
acess
2017-05-21 10:55:31 +08:00
@tabris17 wanakiwi 的原理不是公钥推私钥(难度超高),而是从内存中搜索生成 RSA 密钥对的质数,然后重建出私钥。
而且 LZ 好奇的并不是 wanakiwi 本身,而是为啥没见到有人宣传中勒索后应该先想方设法 dump 出内存。
tabris17
2017-05-21 11:10:46 +08:00
@acess 懂得 dump 内存的人也不会中这种病毒了
Livid
2017-05-21 11:27:05 +08:00
@acess 嗯。

Moved to /go/security
acess
2017-05-21 12:14:27 +08:00
@tabris17 休眠就可以 dump 出内存来,操作很傻瓜。
而且现在的勒索看上去“ low ”,不代表以后不会出现技术变态猥琐的……毕竟能拿到赎金,被抓的也少,诱惑很大啊。
不过我觉得各大安全公司的专家肯定也想到 dump 内存了,我只是不明白他们为什么不把这个思路推广出去,肯定是出于某种考虑的。
acess
2017-05-21 12:20:09 +08:00
@Livid 谢谢
wevsty
2017-05-21 13:02:06 +08:00
@acess
在休眠开启的状态下 hiberfil.sys 是提前占用空间,所以开启状态下进行休眠应该不会导致覆盖数据覆盖,这你没有说错。
我的意思是,如果休眠关闭的情况下打开休眠,就会导致空间被占用形成数据覆盖。
当然,如果默认打开休眠也有另一个副作用,那就是休眠占用了太多磁盘空间,磁盘剩余空间不足也会影响数据恢复的成功率。
总体来说,内存 dump 的方案有一定的用处,但是实现难度太高,不适宜作为大众化的方案推广。
acess
2017-05-21 13:06:16 +08:00
@wevsty 是的,手动开休眠会覆盖数据,我忘了说了。但是对于已经开了休眠的机器,我觉得休眠至少不是个更坏的方法,对于那些忘记备份重要数据(也许还可能是无法实时备份)的人来说,多一丝希望也是好的。
acess
2017-05-21 13:07:50 +08:00
@wevsty 这么想也许有点幼稚,不知道对不对:大家与其把赎金交给勒索者,不如捐款给安全专家让他们集中精力分析勒索病毒?
wevsty
2017-05-21 13:21:04 +08:00
@acess 这种想法本身没错,只不过全世界的安全专家供给没有那么充足。
而且大多数恢复数据的方法需要的前提条件大多数人都是没办法满足的。
如果勒索软件开发者正确的进行了开发,那么安全专家也只能束手无策,无能力为。
一般我身边的人问我被勒索病毒加密了文件怎么办,我都是直接回答,放弃文件自己重新弄。
无论是数据恢复,还是找到加密密钥,或者破解加密,都是需要建立在一定的前提条件下的,如果这次攻击更加精致一些,那就真的一点办法也没有了。
acess
2017-05-21 13:26:00 +08:00
@wevsty 哎,确实,勒索作者想搞得点水不漏太容易了。
acess
2017-05-21 13:27:50 +08:00
@wevsty 不过我也是希望有重要文件(至少文件价值远大于一台普通个人电脑)被锁的人能多一丝希望……
acess
2017-05-21 13:31:22 +08:00
@wevsty 我也觉得预防比事后补救重要。
但现实中仍然有人不接受教训吧。那些被锁数据不重要的,当个谈资吹吹牛就算过去了。但如果被锁数据重要呢?就算“痛改前非”也挽救不了已经被锁的文件啊(我记得 Twitter 上就有个自称全职 WanaCry 受害者,新晋 Windows 更新脑残粉的账户……)
acess
2017-05-21 14:18:11 +08:00
用诡异一点的思路考虑,就算 dump 内存等手段可以破解掉勒索软件,可能也并不是好事。
到现在还缺乏安全意识的人,可能确实很难被普及安全意识,他们脑中可能只会留下“ X 安全公司很厉害,中勒索就找他们,能搞定”这种印象,而不会去花精力了解一些安全方面的常识。
wevsty
2017-05-21 16:34:52 +08:00
@acess 人类从历史中学到的唯一教训就是,人类从不吸取历史教训。
没有人能拯救世界,即使费尽心思为它们好,它们也不会听你的或者感谢你。反倒是自己吃过亏,也许还能有一点进步也说不定。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/362636

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX