WannaCry勒索软件感染了全球超过30万台计算机,不少朋友周一上班时发现自己的电脑已经感染了WannaCry。虽然现在病毒已经得到控制,但是已经感染的电脑文件要如何恢复?
深入分析WannaCry代码后,我们发现代码中充满了错误,受害者能够利用一些简单命令就恢复文件,企业再也不用愁了!
恢复只读文件
由于恶意软件不可能直接加密或修改只读文件,WannaCry会复制这些文件并创建加密版本。虽然原始文件并没有动,但被赋予一个”hidden”属性,要恢复原始数据仅需受害者恢复其正常属性即可。
这并非WannaCry源代码中的唯一错误,在某些情况下,它在加密后并未删除文件。
从系统盘(C盘)中恢复文件
研究人员表示,存储在重要文件夹中的文件如桌面或文档文件夹在没有解密密钥的情况下无法被恢复,因为WannaCry旨在在恢复原始文件前用随机数据覆写原始文件。
然而,研究人员注意到存储在系统盘重要文件夹之外的其它文件能通过使用数据恢复软件从临时文件夹中恢复。研究人员指出,“原始文件会被迁移到%TEMP%\%d.WNCRYT(%d指的是数值)。这些文件包含原始数据且并未被覆写”。
从非系统盘中恢复文件
对于非系统盘来说,WannaCry勒索软件创建了一个隐藏的’$RECYCLE’文件夹并将原始文件加密后迁移到这个目录下。只要将这个文件夹显示隐藏就能恢复文件。
另外,由于WannaCry代码中存在“同步错误”,在很多情况下,原始文件还位于相同的目录下,这样受害者就能通过可用的数据恢复软件恢复被不安全删除的文件。
避免网站因中毒遭受损失
安全资讯和技术尽在云市场头条安全动态:https://yq.aliyun.com/teams/61/type_blog-cid_158
更多安全工具和服务,进入云市场安全频道:https://market.aliyun.com/security