×

被WannaCry勒索蠕虫加密的文件是否能复原?
  

beloved小子 2769

{{ttag.title}}

被WannaCry加密的文件,部分可恢复

“目前,加密的文件通过解密是不可能的,但是被删除的数据可做恢复。” 亚信安全通用安全产品管理副总经理刘政平说到。

WannaCry是一种蠕虫式勒索软件,利用NSA黑客武器库泄露的“永恒之蓝”发起病毒攻击。利用Windows SMB服务器漏洞CVE20170147渗透到Windows机器中,其中严重的漏洞允许远程执行代码传播迅速;一旦被攻击,暂无解密方式。

在对病毒样本的分析中,亚信安全发现攻击者利用勒索蠕虫WannaCry针对攻击的文档,会先做出一份加密文档,然后修改权限确认此份加密文档是无法被删除的。然后在某些情况下,它会对原受攻击的文档进行写入的动作,最后进行删除。即使采用数据恢复工具,并不能保证可以完全恢复受攻击文档的原始内容。但是,根据该勒索蠕虫的行为方式,我们可以恢复C盘之外的大部分数据。

亚信安全通用安全产品中心总经理童宁为记者详细解释到,无论是针对哪个盘的数据进行加密,加密的算法都是一样的。唯一的差距是删除的时候,把这个文件拷贝出来加密形成一个新文件。为了提高勒索效率,攻击者采用了不同的删除行为。一方面,攻击者会挑选桌面以及C盘一些文件进行清零操作,即:将文件从盘里拷贝出来,然后删除文件,采用清零算法,把数据全部写0,这时数据无法还原。另一方面,对于D、E等盘,攻击者采用简单的删除操作。例如仅仅删除文件头,修改文件类型,文件还在,此时数据可恢复。但是,至于能够恢复多少,则取决于原文件所在扇区是否被重写或者覆盖过。

此外,经测试发现,当一个盘符里面的数据量较少时(例如使用了30%),几乎能恢复所有数据;当一个盘符里面的数据量较大时(例如使用了90%),只能恢复部分数据,有一部分数据丢失;当磁盘空间已满时,有的原始文件根本没有被加密,这种情况下,与普通数据恢复原理相同,大多数数据可以恢复。

新的网络攻防需要有新的技术来应对新的挑战

记者了解到,在本次勒索攻击事件中,亚信安全没有一例客户受到影响。这是为什么?据刘政平介绍,首先,今年四月底亚信安全的全线产品针对微软“永恒之蓝”的漏洞发布了针对性的虚拟补丁和检测策略。其次,桌面安全解决方案OfficeScan 11 SP1,通过AGEIS引擎(行为监控)使用ADC(AccessDocument Control)功能对勒索软件恶意的加密行为实施拦截。第三,安全专家在事前协助用户部署虚拟补丁策略,事中协助用户进行配置更新和安全软件更新,事后进行详细分析及系统和优化,提供了全面的专家支持服务。

刘政平表示,新的网络攻防必须要有新的技术才能应对新的挑战,何况这是一个NSA花了很大代价开发出来的网络战略武器。亚信安全之所以能够成功抵御此次攻击,也离不开在新技术上的持续投入。例如:机器学习技术。在本次事件中,通过机器学习引擎的beta版,帮助用户成功有效地拦截了该勒索蠕虫。

通过为客户制定事前、事中、事后的安全策略,并强调补丁管理、异常行为检测、沙箱分析、机器学习等技术手段,亚信安全配合专业的安全服务,确保客户的配置更新以及安全软件更新。最终,即使用户侧在病毒码没有更新,在硬件网关失效,在系统没打补丁,在内网中招的情况下,亚信安全OfficeScan仍然成功抵御了此次勒索。

国内外的安全厂商都在想方设法应对勒索蠕虫病毒,并且取得了积极的成效。亚信安全技术支持中心总经理蔡昇钦介绍,比如亚信安全参与承建的国内多个省份的电信运营商使用的错误域名重定向系统,就能让病毒误以为成功访问了那个紧急停止“开关”,所有请求得到了解析成功的响应,客观上避免了病毒的二次传播。

与勒索蠕虫的战斗刚刚开始

“这次其实不是一个事件的结束,恰恰是一个开始。这一类蠕虫和勒索软件相融合的模式是第一次,带有一种示范效应。很多黑客发现如此有效,可能会依法炮制,利用相同手法进行传播和攻击。因此,未来这个威胁会越来越大,而且是跨平台、跨系统的。”刘政平表示。

蔡昇钦也认为:“WannaCry勒索蠕虫将会写入病毒发展史,它开启了一个新的病毒类型。它把蠕虫的行为加入攻击中,对未来的网络安全影响很大。在物联网时代,一旦跟勒索软件相结合,会对未来物联网的生活造成很大的影响。这也给企业敲响了警钟,企业需时刻重视补丁的更新。”

据悉,NSA泄露的漏洞还有一些没有揭露,这也意味着没有相应的补丁,而安全厂商更没有相应的安全规则。当这些漏洞被揭露的时候,我们该怎么办?

作为安全厂商总不能跟客户说,这是百年一遇的大攻击,我们的技术防不住。因此,厂商应需要尽快地引进和开发新技术,从而进行有效防御。

对用户来说,用病毒码这种被动式防护已慢慢失效,它无法解决系统级漏洞的传播模式。所以,用户需要采取主动防御、层层防护的模式,提前建好防护体系。对此,刘政平表示:“我们认为安全是一个三分靠技术,七分靠管理的体系化工作,建议企业做到预防为主,并同时做好事后的应急响应。”

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

新手778572 发表于 2024-6-12 17:41
  
WannaCry勒索蠕虫加密的文件通常采用强大的加密算法对文件进行加密,使得文件无法直接解密。一旦文件被WannaCry加密,恢复文件变得非常困难。然而,以下是一些可能的方法来处理被WannaCry加密的文件:

数据备份:如果您有备份文件,可以恢复备份文件来替换被加密的文件。定期备份数据是防范勒索软件的一种有效方法。

解密工具:有时安全公司或研究人员会发布解密工具,可以帮助解密某些勒索软件加密的文件。您可以搜索相关的解密工具是否适用于WannaCry。

专业数据恢复服务:有些专业数据恢复服务提供商可能会有能力恢复被加密的文件,但这通常是昂贵的选项。

不建议支付赎金:虽然勒索软件的目的是让受害者支付赎金以获取解密密钥,但支付赎金并不能保证您会收到有效的解密密钥,同时也会鼓励犯罪分子继续从事这种活动。感谢回答,如果大家有紧急情况可以联.系:1.3.1.3.7.0.8.5.8.6.8 ,我们的工程师拥有多年数据恢复经验,提供专业的数据恢复服务。
新手089943 发表于 2019-5-16 00:08
  
感谢楼主带来的分享!
Sangfor_闪电回_朱丽 发表于 2017-5-23 15:33
  
感谢楼主带来的分享!

期待更多原创分享哦!
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
新版本体验
技术笔记
【 社区to talk】
功能体验
技术咨询
产品连连看
GIF动图学习
标准化排查
2023技术争霸赛专题
信服课堂视频
每周精选
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人