日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
【重大發(fā)現(xiàn)】中招WannaCry,真的可以還原數(shù)據(jù)!?

5月12日,黑客驅(qū)動WannaCry/Wcry蠕蟲病毒,向全球用戶發(fā)出“勒索”挑戰(zhàn)。一些從來不知道“打補丁”,不清楚什么是445端口的無辜群眾因此受難。隨后,網(wǎng)上流言四起,一種說法是“數(shù)據(jù)可以自行解密”,另一種說法是“數(shù)據(jù)可以通過軟件恢復”,為了查明真相,亞信安全技術(shù)支持中心通過逆向病毒行為分析,發(fā)現(xiàn)了數(shù)據(jù)恢復中的“重大秘密”!

創(chuàng)新互聯(lián)是一家專注于網(wǎng)站設(shè)計、成都網(wǎng)站設(shè)計與策劃設(shè)計,渾江網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)10年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:渾江等地區(qū)。渾江做網(wǎng)站價格咨詢:18980820575

其實,數(shù)據(jù)恢復不等于解密!

近期,網(wǎng)上流傳一些“解密方法”,甚至有人說病毒作者良心發(fā)現(xiàn),已經(jīng)公布了解密密鑰,通過驗證,這些都是謠言。亞信安全建議廣大公眾,輕信謠言的結(jié)果,還可能面臨“二次中毒”的風險。

針對本次爆發(fā)的勒索蠕蟲WannaCry, 到目前為止還沒有公布私鑰,而從黑客采用的加密技術(shù)原理來講,除非拿到對稱密鑰,否則無法實現(xiàn)解密。亞信安全技術(shù)支持中心測試發(fā)現(xiàn):目前,能減少客戶損失的方法只有通過數(shù)據(jù)恢復技術(shù),而非解密技術(shù)來還原數(shù)據(jù)。

一、 WannaCry勒索蠕蟲的3種加密行為

這一次WannaCry病毒引發(fā)的全球勒索蠕蟲風暴,不僅是全球首款通過系統(tǒng)漏洞實現(xiàn)傳播的勒索蠕蟲,更在加密手段上獨樹一幟。經(jīng)過亞信安全對已經(jīng)獲取到的病毒樣本的逆向行為分析后發(fā)現(xiàn),編寫病毒的黑客,為了提高加密效率,WannaCry病毒有3種不同的加密行為。

第一種加密行為:桌面文件被“重寫”,數(shù)據(jù)不可恢復

亞信安全技術(shù)支持中心發(fā)現(xiàn),WannaCry勒索病毒首先會選擇用戶的“桌面”進行加密,同時使用垃圾數(shù)據(jù)填充原文件(文件經(jīng)過多次重寫),然后刪除。黑客充分研究了普通用戶保存數(shù)據(jù)文件的行為,利用了大多數(shù)人將手頭重要文件保存在桌面的“壞習慣”。而在這種情況下,因為原文件已經(jīng)被覆蓋填充,所以這種方式處理過的文件是不可能被恢復的!

第二種加密行為:系統(tǒng)盤文件可部分恢復,“文件名”徹底丟失

針對系統(tǒng)盤(一般是C盤), 勒索病毒在加密文件后, 會重命名原文件為數(shù)字.WNCRYT,如:1.WNCRYT、2.WNCRYT等,然后把這些文件移動到“%TMP%目錄”下。這種方式處理過的文件,只能部分被恢復為*.WNCRYT文件。需要查看文件頭,確定文件類型后, 手動修改為原始原件類型。例如1.WNCRYT修改為xxx.doc后可以恢復為原始的WORD文件。

第三種加密行為:其他盤符文件恢復可能性較大,概率由“磁盤剩余空間”決定

針對其他盤符(如D,E盤等),勒索病毒在加密文件后,直接刪除原文件。這種方式處理過的文件是有可能被恢復的。至于能恢復多少,要取決于原文件所在的扇區(qū)是否被重寫或者覆蓋過。通過測試發(fā)現(xiàn),當一個盤符里面的數(shù)據(jù)量較少時(例如使用了30%),幾乎能恢復所有數(shù)據(jù);當一個盤符里面的數(shù)據(jù)量較大時(例如使用了90%),只能恢復部分數(shù)據(jù),有一部分數(shù)據(jù)丟失;當磁盤空間已滿時,有的原始文件根本沒有被加密, 這種情況下,與普通數(shù)據(jù)恢復原理相同,大多數(shù)數(shù)據(jù)可以恢復。

二、3種加密行為下的數(shù)據(jù)恢復實驗

為了證實以上3種行為與數(shù)據(jù)恢復之間的關(guān)聯(lián)性, 亞信安全技術(shù)支持中心分別進行了相關(guān)實驗。

實驗一

使用病毒樣本感染測試機, 然后嘗試使用數(shù)據(jù)恢復軟件恢復桌面上的文件。測試步驟和結(jié)果如下:

  • 病毒加密之后,桌面文件被加密。
  • 嘗試數(shù)據(jù)恢復,可以發(fā)現(xiàn)所有C盤可恢復的用戶文件都在%TMP%下。
  • 恢復之后發(fā)現(xiàn),恢復的文件都是C盤其他目錄下的文件。 桌面文件無法恢復。

實驗二

使用病毒樣本感染測試機, 然后嘗試使用數(shù)據(jù)恢復軟件恢復系統(tǒng)盤文件。測試步驟和結(jié)果如下:

1. 圖1所示,病毒在加密之后, 可以在%TMP%目錄下看到很多以WNCRYT為后綴的文件。

圖1:文件名后綴被修改為WNCRYT

2. 使用數(shù)據(jù)恢復軟件恢復出來的數(shù)據(jù)也是WNCRYT格式的文件??梢允褂霉ぞ卟榭次募^信息。 圖2中可以看到8.WNCRYT文件的真實文件類型是docx文件。

圖2:WNCRYT文件的真實文件類型是docx文件

3. 可以直接重命名文件格式, 就可以恢復該文件。但是原始文件名是無法恢復的。

圖3:重命名文件格式可恢復文件

實驗三

使用病毒樣本感染測試機, 然后嘗試使用數(shù)據(jù)恢復軟件恢復D盤和E盤文件。測試步驟和結(jié)果如下:

  • 在磁盤有空余的情況下, 幾乎能100%恢復數(shù)據(jù)。
  • 在磁盤滿的情況下, 只有部分文件被加密。很多原文件直接被保留在磁盤上。

三、正確選擇數(shù)據(jù)恢復順序

為了保證測試的準確有效,亞信安全技術(shù)支持中心測試了兩個操作系統(tǒng)、若干病毒樣本,多種數(shù)據(jù)恢復軟件,測試結(jié)果一致。結(jié)論如下:

  • 桌面文件無法恢復。
  • 系統(tǒng)盤文件可部分恢復,但恢復難度較大。
  • 其他盤符內(nèi)的文件容易被恢復,且被恢復的可能性較大。

WannaCry 勒索軟件是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件,利用了微軟基于445 端口傳播擴散的 SMB 漏洞MS17-010。在提醒用戶及時安裝相關(guān)補丁和網(wǎng)絡(luò)安全軟件、開啟防火墻封堵網(wǎng)絡(luò)端口的同時,亞信安全經(jīng)過上述實驗,建議受到WannaCry感染的客戶,請優(yōu)先恢復D,E等其他盤符內(nèi)的文件,對系統(tǒng)盤內(nèi)的文件用戶請選擇性恢復。


網(wǎng)站標題:【重大發(fā)現(xiàn)】中招WannaCry,真的可以還原數(shù)據(jù)!?
網(wǎng)頁URL:http://www.dlmjj.cn/article/cdephhg.html