V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
acess
V2EX  ›  问与答

可以利用反删除软件找回被 WanaCry 勒索蠕虫加密的文件么?

  •  
  •   acess · 2017-05-14 23:29:08 +08:00 · 4855 次点击
    这是一个创建于 2772 天前的主题,其中的信息可能已经有所发展或是发生改变。
    知乎上好像已经有人成功了。360 已经出了一个“勒索蠕虫病毒文件恢复工具”,看上去好像就是反删除工具。
    看来,勒索作者虽然搞了个大新闻,但实际上还是有很大疏漏啊,居然忘记擦除原先未加密的那份文件。
    不过,不是说已经有变种了么?对于各种变种是不是都有效?
    第 1 条附言  ·  2017-05-15 02:44:56 +08:00
    使用虚拟机试了一下 DiskGenius,成功恢复出被加密的示例视频。样本应该是 360 分析的那个样本。
    第 2 条附言  ·  2017-05-15 21:20:09 +08:00
    效率源昨晚发布了恢复软件:
    http://www.xlysoft.net/detail/7-84-930.html
    根据文中的分析,加密方式实际上有 2 种。1.5MB 以下的小文件是新生成已加密文件后删除未加密版本,大于 1.5MB 的大文件则加密一部分数据。对于 1.5MB 以上的大文件,可以使用效率源的工具提取未被加密的部分;小于 1.5MB 的文件则可以尝试已有的各种反删除工具。
    第 3 条附言  ·  2017-06-28 16:27:49 +08:00
    http://bobao.360.cn/learning/detail/3874.html
    360 的报告还是很详细的。
    简要地说,部分用作“免费恢复”的文件被内置的密钥加密,所以可以直接恢复。但没被挑中的文件就不可能这么解密了。
    其他文件,病毒是挑看起来重要的,先加密,然后再移到一个地方,再进行覆盖擦除数据。不重要的,生成加密版本后,直接删除。
    不是直接覆盖写入,比较复杂。
    但这个过程有 Bug,比如文件移动过去但没被删除之类的,所以 360 搞了一个恢复工具来利用这些 Bug。
    不过说实话,我用虚拟机试过,能利用 Bug 恢复回来的文件可能也不多。
    剩下的仍然需要靠 DiskGenius 全盘扫描,碰碰运气,再不行就只能备份 00000000.eky,然后等做勒索的那家伙放出私钥了。
    第 4 条附言  ·  2017-07-02 13:55:44 +08:00
    > 其他文件,病毒是挑看起来重要的,先加密,然后再移到一个地方,再进行覆盖擦除数据。不重要的,生成加密版本后,直接删除。

    上面这句话说得有点含混。纠正一下:

    其他文件,病毒是挑看起来重要的,先生成加密版本,然后把未加密的文件移到一个地方,再进行覆盖擦除数据。不重要的,生成加密版本后,直接删除。

    实际上病毒对大文件还有更多处理,比如先加密文件头部的一小块数据……真的不是原地写入那么简单。
    不是替 360 辩护,我也是拿虚拟机试过病毒的,360 的分析基本靠谱,虽然他们吹上天的恢复工具 2.0 并没有那么神……
    (而且这个恢复工具 2.0 还放弃了在内存里直接扫私钥的机会,就是 WanaKiwi 的那个原理。360 也拿 WanaKiwi 搞了二次开发,不过没整合到恢复工具 2.0 里面……算了,说那么多都没用,大多数中毒机都是 64 位系统,拿 WanaKiwi 也恢复不了私钥😂)
    12 条回复    2017-05-15 12:58:36 +08:00
    wevsty
        1
    wevsty  
       2017-05-14 23:46:40 +08:00   ❤️ 1
    反删除软件有一定的作用吧,但是具体能有多大作用也很大程度的取决于运气。
    terence4444
        2
    terence4444  
       2017-05-14 23:52:57 +08:00 via iPhone   ❤️ 2
    很大程度取决于磁盘空闲容量,磁盘空闲容量越大,被找回的几率越大。比如如果磁盘剩余空间小于 10%,那 90% 的文件必然找不回来。
    flynaj
        3
    flynaj  
       2017-05-15 01:16:59 +08:00 via Android   ❤️ 2
    看运气,固态硬盘基本恢复的概率为零,机械硬盘看剩余空间
    opnb
        4
    opnb  
       2017-05-15 01:29:37 +08:00   ❤️ 4
    完全不能,你支这些病毒厂商又无耻的在欺骗民众了
    为了防止硬盘空间不够的意外,WanaCry 都是原地写入的, 加密数据覆盖到原来的位置
    而不是愚蠢的生成一个新文件再把旧的删掉

    什么反删除软件屁用都没有,知乎上吹牛逼的垃圾一堆堆的
    其素质早就跌到和微信朋友圈一个水准了
    zander
        5
    zander  
       2017-05-15 06:34:59 +08:00 via iPhone
    半桶水瞎折腾。
    lneoi
        6
    lneoi  
       2017-05-15 08:09:05 +08:00
    360 已出软件。就是把之前的删除恢复工具改个名
    acess
        7
    acess  
    OP
       2017-05-15 08:25:53 +08:00
    @zander LZ 确实是外行……如果这贴只起到增加噪音的作用,把它沉了我也没啥好说的……
    murmur
        8
    murmur  
       2017-05-15 09:04:10 +08:00
    如果是这样,证明这病毒太恶毒了,不是加密文件而是删除文件后改用随机内容覆盖,这的却比算 DES 快
    acess
        9
    acess  
    OP
       2017-05-15 09:07:13 +08:00
    @murmur 我记得文件粉碎工具也是先覆盖文件内容再删除吧,Linux 下的 shred 甚至不会帮你删文件,只帮你覆盖。文件删了,具体占用哪些 block 不就难以定位了吗?就算能定位,难道要绕过操作系统……把可用空间(按照 Eraser 软件的情况,可能还需要包括 cluster tip ?)全部覆盖一遍肯定也行,但更麻烦。
    peng1994
        10
    peng1994  
       2017-05-15 10:27:17 +08:00 via Android
    如果硬盘有一半以上的空间,应该可以恢复出来大部分文件吧
    acess
        11
    acess  
    OP
       2017-05-15 10:33:24 +08:00 via Android
    @peng1994 虚拟机测试,虽然离加密只过去几分钟,但仍然有文件损坏。
    所以……我觉得不太乐观。
    如果是 SSD,大概直接会被 TRIM 掉……
    lovelynn
        12
    lovelynn  
       2017-05-15 12:58:36 +08:00
    事实上只能恢复一部分,因为病毒是删除部分做勒索恢复的示例。加密的是没办法恢复的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1130 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 23:58 · PVG 07:58 · LAX 15:58 · JFK 18:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.