欢迎光临GGAMen游戏资讯




WannaCry 产生加密档后才删除原档,档案救援软件有可能复原文件

2025-02-26 206

勒索软件 WananCry 以 AES 加密档案,再以 RSA 2048 把 AES 密钥加密,所以一般人极难还原档案。不过台湾电脑网络危机处理暨协调中心的分析发现,WannaCry 很可能是把额外产生一个加密档案后才删除原档案,而非直接加密原本的档案,所以利用档案救援软件便有机会把档案复原。

台湾电脑网络危机处理暨协调中心(TWCERT)日前发布《WanaCrypt0r(WanaCry)勒索软件行为分析报告》,分析 WannaCry 对电脑档案的行为。他们发现, WannaCry 会先加密档案,再将原档案删除,并立即于 C:\Windows\temp 资料夹下新增一个与删除档案同大小之 WNCRYT 副档名档案。

他们推测 WannaCry 实际上是把原档案读取到内存中加密,然后产生一个加密档案,再删除原档案。换句话说,“原先于电脑档案系统中的档案并未直接加密,只是删除,而被加密的档案仅为原来副本。”因此,用户有机会藉档案救援软件进行档案复原。

虽然 WannaCry 在建立 WNCRYT 档案时,有可能刚好覆写到删除档案原本所在位置,但档案仍有拯救机会。TWCERT 于报告中表示,利用档案救援软件 Recuva 能救回部分加密后删除的档案。

因此,坊间一些工具声称能够拯救遭 WannaCry 加密档案,实际上应是档案修复工具,但硬盘活动频繁,档案能成功拯救的机会随时间会愈来愈低。

TWCERT 提醒用户应把重要文件妥善备份,随时更新修补程式及防毒软件至最新版本,以及使用防火墙,把不需要的通讯埠及应用程序权限关闭。

(本文由 Unwire Pro 授权转载;首图来源:pixabay)

延伸阅读:

  • 原来 WannaCry 2.0 是失败试作品,真 3.0 变种版本已开始感染
  • 全球勒索病毒只是开胃小菜?骇客组织称将放出更多军火等级网络武器
2019-03-21 13:30:00

标签:   游戏头条 资讯头条 ggamen科技资讯 ggamen科技 ggamen科技资讯头条 科技资讯头条 ggamen游戏财经 新闻网 科技新闻网 科技新闻 ggamen ggamen游戏新闻网 科技新闻 科技新闻网 新闻网 ggamen游戏财经 科技资讯头条 ggamen科技资讯头条 ggamen科技 ggamen科技资讯 ggamen ggamen游戏新闻网 科技新闻 科技新闻网 新闻网 ggamen游戏财经 科技资讯头条 ggamen科技资讯头条 ggamen科技 资讯头条
207