这是一个创建于 2547 天前的主题,其中的信息可能已经有所发展或是发生改变。
知乎上好像已经有人成功了。360 已经出了一个“勒索蠕虫病毒文件恢复工具”,看上去好像就是反删除工具。
看来,勒索作者虽然搞了个大新闻,但实际上还是有很大疏漏啊,居然忘记擦除原先未加密的那份文件。
不过,不是说已经有变种了么?对于各种变种是不是都有效?
看来,勒索作者虽然搞了个大新闻,但实际上还是有很大疏漏啊,居然忘记擦除原先未加密的那份文件。
不过,不是说已经有变种了么?对于各种变种是不是都有效?
第 1 条附言 · 2017-05-15 02:44:56 +08:00
使用虚拟机试了一下 DiskGenius,成功恢复出被加密的示例视频。样本应该是 360 分析的那个样本。
第 2 条附言 · 2017-05-15 21:20:09 +08:00
效率源昨晚发布了恢复软件:
http://www.xlysoft.net/detail/7-84-930.html
根据文中的分析,加密方式实际上有 2 种。1.5MB 以下的小文件是新生成已加密文件后删除未加密版本,大于 1.5MB 的大文件则加密一部分数据。对于 1.5MB 以上的大文件,可以使用效率源的工具提取未被加密的部分;小于 1.5MB 的文件则可以尝试已有的各种反删除工具。
http://www.xlysoft.net/detail/7-84-930.html
根据文中的分析,加密方式实际上有 2 种。1.5MB 以下的小文件是新生成已加密文件后删除未加密版本,大于 1.5MB 的大文件则加密一部分数据。对于 1.5MB 以上的大文件,可以使用效率源的工具提取未被加密的部分;小于 1.5MB 的文件则可以尝试已有的各种反删除工具。
第 3 条附言 · 2017-06-28 16:27:49 +08:00
http://bobao.360.cn/learning/detail/3874.html
360 的报告还是很详细的。
简要地说,部分用作“免费恢复”的文件被内置的密钥加密,所以可以直接恢复。但没被挑中的文件就不可能这么解密了。
其他文件,病毒是挑看起来重要的,先加密,然后再移到一个地方,再进行覆盖擦除数据。不重要的,生成加密版本后,直接删除。
不是直接覆盖写入,比较复杂。
但这个过程有 Bug,比如文件移动过去但没被删除之类的,所以 360 搞了一个恢复工具来利用这些 Bug。
不过说实话,我用虚拟机试过,能利用 Bug 恢复回来的文件可能也不多。
剩下的仍然需要靠 DiskGenius 全盘扫描,碰碰运气,再不行就只能备份 00000000.eky,然后等做勒索的那家伙放出私钥了。
360 的报告还是很详细的。
简要地说,部分用作“免费恢复”的文件被内置的密钥加密,所以可以直接恢复。但没被挑中的文件就不可能这么解密了。
其他文件,病毒是挑看起来重要的,先加密,然后再移到一个地方,再进行覆盖擦除数据。不重要的,生成加密版本后,直接删除。
不是直接覆盖写入,比较复杂。
但这个过程有 Bug,比如文件移动过去但没被删除之类的,所以 360 搞了一个恢复工具来利用这些 Bug。
不过说实话,我用虚拟机试过,能利用 Bug 恢复回来的文件可能也不多。
剩下的仍然需要靠 DiskGenius 全盘扫描,碰碰运气,再不行就只能备份 00000000.eky,然后等做勒索的那家伙放出私钥了。
第 4 条附言 · 2017-07-02 13:55:44 +08:00
> 其他文件,病毒是挑看起来重要的,先加密,然后再移到一个地方,再进行覆盖擦除数据。不重要的,生成加密版本后,直接删除。
上面这句话说得有点含混。纠正一下:
其他文件,病毒是挑看起来重要的,先生成加密版本,然后把未加密的文件移到一个地方,再进行覆盖擦除数据。不重要的,生成加密版本后,直接删除。
实际上病毒对大文件还有更多处理,比如先加密文件头部的一小块数据……真的不是原地写入那么简单。
不是替 360 辩护,我也是拿虚拟机试过病毒的,360 的分析基本靠谱,虽然他们吹上天的恢复工具 2.0 并没有那么神……
(而且这个恢复工具 2.0 还放弃了在内存里直接扫私钥的机会,就是 WanaKiwi 的那个原理。360 也拿 WanaKiwi 搞了二次开发,不过没整合到恢复工具 2.0 里面……算了,说那么多都没用,大多数中毒机都是 64 位系统,拿 WanaKiwi 也恢复不了私钥😂)
上面这句话说得有点含混。纠正一下:
其他文件,病毒是挑看起来重要的,先生成加密版本,然后把未加密的文件移到一个地方,再进行覆盖擦除数据。不重要的,生成加密版本后,直接删除。
实际上病毒对大文件还有更多处理,比如先加密文件头部的一小块数据……真的不是原地写入那么简单。
不是替 360 辩护,我也是拿虚拟机试过病毒的,360 的分析基本靠谱,虽然他们吹上天的恢复工具 2.0 并没有那么神……
(而且这个恢复工具 2.0 还放弃了在内存里直接扫私钥的机会,就是 WanaKiwi 的那个原理。360 也拿 WanaKiwi 搞了二次开发,不过没整合到恢复工具 2.0 里面……算了,说那么多都没用,大多数中毒机都是 64 位系统,拿 WanaKiwi 也恢复不了私钥😂)
 |
1
wevsty 2017-05-14 23:46:40 +08:00  1
反删除软件有一定的作用吧,但是具体能有多大作用也很大程度的取决于运气。
|
 |
2
terence4444 2017-05-14 23:52:57 +08:00 via iPhone 2
很大程度取决于磁盘空闲容量,磁盘空闲容量越大,被找回的几率越大。比如如果磁盘剩余空间小于 10%,那 90% 的文件必然找不回来。
|
 |
3
flynaj 2017-05-15 01:16:59 +08:00 via Android 2
看运气,固态硬盘基本恢复的概率为零,机械硬盘看剩余空间
|
 |
4
opnb 2017-05-15 01:29:37 +08:00 4
完全不能,你支这些病毒厂商又无耻的在欺骗民众了
为了防止硬盘空间不够的意外,WanaCry 都是原地写入的, 加密数据覆盖到原来的位置 而不是愚蠢的生成一个新文件再把旧的删掉 什么反删除软件屁用都没有,知乎上吹牛逼的垃圾一堆堆的 其素质早就跌到和微信朋友圈一个水准了 |
 |
5
zander 2017-05-15 06:34:59 +08:00 via iPhone
半桶水瞎折腾。
|
 |
6
lneoi 2017-05-15 08:09:05 +08:00
360 已出软件。就是把之前的删除恢复工具改个名
|
 |
8
murmur 2017-05-15 09:04:10 +08:00
如果是这样,证明这病毒太恶毒了,不是加密文件而是删除文件后改用随机内容覆盖,这的却比算 DES 快
|
 |
9
acess OP @murmur 我记得文件粉碎工具也是先覆盖文件内容再删除吧,Linux 下的 shred 甚至不会帮你删文件,只帮你覆盖。文件删了,具体占用哪些 block 不就难以定位了吗?就算能定位,难道要绕过操作系统……把可用空间(按照 Eraser 软件的情况,可能还需要包括 cluster tip ?)全部覆盖一遍肯定也行,但更麻烦。
|
 |
10
peng1994 2017-05-15 10:27:17 +08:00 via Android
如果硬盘有一半以上的空间,应该可以恢复出来大部分文件吧
|
|
11
acess OP |
 |
12
lovelynn 2017-05-15 12:58:36 +08:00
事实上只能恢复一部分,因为病毒是删除部分做勒索恢复的示例。加密的是没办法恢复的。
|
Select Language