勒索软件 WananCry 以 AES 加密档案,再以 RSA 2048 把 AES 密钥加密,所以一般人极难还原档案。不过台湾电脑网络危机处理暨协调中心的分析发现,WannaCry 很可能是把额外产生一个加密档案后才删除原档案,而非直接加密原本的档案,所以利用档案救援软件便有机会把档案复原。
台湾电脑网络危机处理暨协调中心(TWCERT)日前发布《WanaCrypt0r(WanaCry)勒索软件行为分析报告》,分析 WannaCry 对电脑档案的行为。他们发现, WannaCry 会先加密档案,再将原档案删除,并立即于 C:\Windows\temp 资料夹下新增一个与删除档案同大小之 WNCRYT 副档名档案。
他们推测 WannaCry 实际上是把原档案读取到内存中加密,然后产生一个加密档案,再删除原档案。换句话说,“原先于电脑档案系统中的档案并未直接加密,只是删除,而被加密的档案仅为原来副本。”因此,用户有机会藉档案救援软件进行档案复原。
虽然 WannaCry 在建立 WNCRYT 档案时,有可能刚好覆写到删除档案原本所在位置,但档案仍有拯救机会。TWCERT 于报告中表示,利用档案救援软件 Recuva 能救回部分加密后删除的档案。
因此,坊间一些工具声称能够拯救遭 WannaCry 加密档案,实际上应是档案修复工具,但硬盘活动频繁,档案能成功拯救的机会随时间会愈来愈低。
TWCERT 提醒用户应把重要文件妥善备份,随时更新修补程式及防毒软件至最新版本,以及使用防火墙,把不需要的通讯埠及应用程序权限关闭。
(本文由 Unwire Pro 授权转载;首图来源:pixabay)
延伸阅读:
- 原来 WannaCry 2.0 是失败试作品,真 3.0 变种版本已开始感染
- 全球勒索病毒只是开胃小菜?骇客组织称将放出更多军火等级网络武器
