5月12日晚间,一款名为WannaCRY“永恒之蓝”的恶意勒索软件在全球肆虐,受害电脑被黑客“劫持”,大量文件被加密锁定,并索要高额比特币赎金。截至14日下午,该软件已经在全球范围内感染了包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等多个国家和地区超过数十万台电脑。各国*府和公共网络系统,众多学校、医院、企业都受到侵害,我国许多高校校园网和多家能源企业、*府机构也中招,多地的出入境、派出所等公安网也疑似遭遇了病*袭击,对重要数据造成严重损失。
作为国内电子数据取证龙头企业,网络空间安全专家,美亚柏科也在第一时间推出事前预警,还没有中招的朋友请一定要看下方的防范步骤并转发给身边的人:紧急扩散
勒索病*全球大爆发,教你几招免遭敲诈!(附详细步骤)。
其中在WannaCry病*爆发后,美亚柏科计算机取证研发团队连夜根据该病*的特性,进行了针对性的研究,14日下午研发取得重大。现美亚柏科、特别版本推出,该版本支持对感染WannaCry病*的计算机进行数据恢复,符合特定环境下的计算机可实现大部分甚至全部数据恢复。具体软件情况请继续往下看。
★WannaCry加密过程研究
WannaCry病*爆发后,我们对其运行原理进行了一些研究,下面用虚拟机模拟一次系统被感染的过程。新建一个虚拟机并拷贝进去若干文档和病*样本。如下图所示:
主动执行病*样本,此时观察到测试文件所在的目录下生成和原文件名字一致的WNCRY后缀的文件,且桌面背景被更改提示文字。如下图所示:
随着时间推移,可以看到系统中的原文件被删除,只剩下加密后的文件,并弹出告知付赎金的界面。此时被WannaCry病*感染的文件已AES+RSA的加密算法进行加密,暴力破解难度非常大。
不过研究到此,病*的运行原理就出来了,即读取源文件到内存,完成加密,写入硬盘删除源文件,保留加密文件。注意:你的原始文件其实并没有直接被加密,而是被黑客删除了被加密的只是副本。
知道了病*的运行原理,我们测试并成功实现了两种方式对数据进行抢救。
★WannaCry数据恢复方法
一、通过文件系统删除恢复原理恢复
WannaCry病*删除原文件与普通的文件删除过程情形一致,可以通过文件系统的删除恢复原理对数据尝试恢复。这也是目前国内有部分安全厂商提供的工具的运行方法。但是此方式的局限性在于必需确保原文件删除后未被新的数据覆盖,如果后续文件读写操作操作比较多,则可能造成数据恢复失败。数据恢复可能性不稳定。
二、通过卷影副本数据进行恢复
在数据被覆盖无法通过常规方式进行恢复的情况下,我们依然可以尝试使用另一个方式——卷影副本服务。
卷影副本服务是Windows系统默认开启的文件备份服务。该服务在WXP/开始引入,windowsSrvr/Vista得到加强,并在Windows7/8/8.1/10所有版本默认开启的,可以在一定条件下保存文件的历史版本数据。
根据网上的资料,WannaCry病*在运行后除了加密特定类型文件,还会清除系统中的卷影副本数据。但通过我们研发人员的实际测试,在部分版本(主要是64位)的系统中,卷影副本并未被清除。如果被感染的计算机还存在卷影副本数据,通过一定的方式读取并导出文件的历史版本,即可“恢复”出相关数据,若计算机在被感染前一天有开机系统默认备份过,更有可能实现%数据恢复。
★WannaCry数据恢复操作
前面太多技术相关的,可能很多微友一头雾水,操作复杂,这里美亚柏科研发人员根据研发所得的结果,第一时间开发了恢复大师、取证大师特别版本,支持一键对感染WannaCry病*的计算机实现上述两种数据恢复方式。
操作前特别提醒:若计算机感染病*请立即断网,避免进一步传播感染,建议在只读环境下进行恢复。特别是美亚柏科的客户,建议使用恢复大师和取证大师设备搭配本版本进行恢复,个人电脑请在感染后下载可用的安全软件进行系统漏洞修复,及清除电脑中全部木马程序,防止勒索病*反复感染。
下面以恢复大师为例介绍具体的操作步骤。
打开恢复大师,选择“计算机恢复”功能,如下图:
数据源类型选择“镜像”,如下图:
点击“添加镜像”选择磁盘镜像文件(本例中为上述实验的虚拟机镜像),如下图:
选择完成后,点击快速恢复,稍等片刻恢复完成后在左侧恢复结果树中的“办公文档”→“Word文档”节点即可找到恢复成功的“美亚柏科简介.doc”文档,且可正常预览和导出,如下图所示:
如果被感染磁盘中还存在卷影副本数据,则快速恢复结束后会在结果中多出一个形如“分区3_本地磁盘[分区1_本地磁盘[C]卷影快照-05-:23:57”的节点,其中的数据可以直接预览,导出即可恢复计算机上一次备份。若备份及时,甚至可以恢复出感染前的全部数据。如下图所示:
在具体实践中,如果“快速恢复”未恢复出所需数据,可以尝试点击上图左下角的“深度恢复”按钮进行全盘扫描,可能恢复出更多的数据。
此外,除了恢复大师,取证大师也发布了病*对应版本,支持WannaCry病*感染数据的恢复,下图是通过卷影副本恢复的效果图:
★美亚柏科恢复软件获取方式
一、这里本
