[情報] wncry有救了?

作者narihira2000 (老羊)

看板AntiVirus

標題[情報] wncry有救了?

時間Sat May 13 11:58:01 2017

剛剛在一個電腦的社團看到有人po出WanaCrypt行為模式分析直接複製內文貼上: 被WannyCry加密的用戶檔案救援可能性分析 --------------------------------------------------------------- 剛剛針對WannyCry病毒的模型分析他的行為模式是 1.複製檔案到快取(記憶體或虛擬記憶體) 2.加密 3.刪除舊檔案 4.放出加密過的檔案 ----------------------------- 很關鍵的地方！！！檔案被標示為刪除後，不會馬上被抹除/複寫所以當機立斷要做的事情 1.關機 2.使用第三方開機(另一台電腦、PE開機等) 　使用類似「 Recuva」這種撈出磁區內刪除檔案 3.開始救援，但能救多少不知道，看你的磁碟滿的狀態如果很空那就可以救回來很多，如果很滿，恭喜你會被複寫掉很多.. ※※流程我講的很粗糙，如果不會用，可以試著GOOGLE 　　或請身邊懂電腦的工具人幫忙，別找我謝謝。一樣要分享出去就分享，不用過問我了晚上我在寫一篇綁架病毒與ACL權限概念給大家..如果我有空的話qq 截圖:http://imgur.com/ehX2T7z 不知道可不可行有中獎的人要試試看嗎? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 103.5.102.185 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494647884.A.69F.html ※ 編輯: narihira2000 (103.5.102.185), 05/13/2017 12:00:47

推 saca572381: 如果把資料夾禁止寫入會有用嗎之前就設定過了只有存 05/13 12:02

→ saca572381: 檔案才會改存完會改回來 05/13 12:02

推 hms5232: 意思是看得懂感覺理論上可以但能救回來多少真的未知數 05/13 12:03

→ gwofeng: 可以用救誤刪檔案的救援軟體來掃但數量應該不會很多 05/13 12:05

推 StellaNe: 以前的勒索病毒好像就有這樣救回過 05/13 12:05

推 athraugh: 推一下 05/13 12:07

推 o030227: 我中伊莉那隻有靠救援軟體找回十幾G的檔案而已，不無小補 05/13 12:09

推 Cactusman: 難 05/13 12:17

推 ddrdod: 500G硬碟，使用了95%，等到被加密完畢，再用硬碟救援軟體 05/13 12:20

推 CannonLake: 就跟救照片差不多啊撈只刪除標頭但實際未複寫的理 05/13 12:20

→ CannonLake: 論可行但成效更差因為這種一直蓋檔不像古早只是純 05/13 12:20

→ CannonLake: 刪 05/13 12:20

→ ddrdod: 也救不到多少檔案了崩╰(〒皿〒)╯潰 05/13 12:22

→ jerrylin: 把檔案都改成唯讀有用嗎 05/13 12:30

推 estupid: 硬碟裝滿的很容易就被蓋過去了撈也撈不到了 05/13 12:31

推 cangming: 唯讀會有用但還是要看加密軟體的權限 05/13 13:02

→ rexhaha: 很久以前就就試過了，只花了一堆時間而已。 05/13 13:35

推 vi000246: 無聊去找源碼看起來是直接加密的複製一份太花時間了 05/13 13:35

→ vi000246: 就像加入壓縮檔那樣直接修改原檔 05/13 13:36

推 gwofeng: 剛試了一下，它刪除的那份資料也是破壞過的 05/13 14:21

→ gwofeng: 用救援軟體去撈資料的是白做工了 05/13 14:22

推 weichen5566: 用那套軟體救援出來也是加密的檔案喔!沒用的 05/13 21:56