※ 引述《blue0413 (比爾林)》之銘言： : 大家好 : 我們這裡是微型身障團體（視障家長協會）， : 今天發現我們的公用區電腦中了勒索病毒， : 檔命後方出現 .want.to.cry : 裡面許多的資料都毀損， : 要命的是我們這些資料都沒有備份， : 在這裡想找有沒有高手可以幫我們資料救援， : 我們願意花錢聘請協助救援， : 意者煩請私信給我，謝謝! 回應各路鄉民跟酸民 當事人所謂的公用區其實是網芳開啟的電腦 開啟網芳給其他台用 由於某種不明原因更新後其他電腦連不上, 所以該單位的電腦維護直接關Windows Update 病毒入侵時間為發文當日 08:36分, 在下午1:30分左右加密完成 (以上是i3-10100的實力, 加上硬碟壞軌跟冷資料buff) 當事人發現到檔案無法打開之後, 處理方式是關機 (錯過第一次黃金救援時間) (內心OS 心已涼半截) --------- (我叫分割線) 當事人主機為華碩商用電腦帶Windows 10 Pro, i3-10100+8G DDR4 拆機看到配置為 2.5" 250G SATA SSD (WD BLUE WDS250G2B0A, retail) 2.5" 1TB SATA HDD (WD10SPZX OEM, 可能是與筆電大量採購留下的) (以上有疑慮點, WD SSD是查序號得知零售版本, 原nvme插槽的硬碟不見了!!) 用創見的2.5"轉3.5"支架裝在電腦上 資料救援部份 該台電腦有防毒軟體, wannacry的tesk都被刪除 SSD主控為 marvell 88S1074 未與顆粒加密 (還好有料版) Dump資料參考小飛機修澤石的硬碟, 載入澤石無加密韌體 讀顆粒未被trim的部份撈回一些tesk 但是沒有mft表, 只能土法煉鋼找tesk跟讀顆粒 至於存網芳資料的HDD, 剛讀下去就只剩0.6-10M/s 一直出05 C5 硬幹一晚上換磁頭clone (打壞三個) 到我的配件硬碟上 失去tesk跟mft表的硬碟用recuva簡單的做法撈不出來 (參考版友提供巴哈資料) 目前是用PC3000讀底層 讀到300G左右的底層資料, 用i5-11400 AVX512 暴力算跟暴力找被病毒刪除的未加密檔案 參考資料: http://roger6.blogspot.com/2017/06/wannacry-analyze-5.html https://www.cs.utep.edu/CFIA/files/outreach/WannaCryKeyRecovery/ WannaCryKeyRecovery_Exercise.pdf 撈出300MB可讀取寫入的MS Office檔案 由於沒有mft表, 檔案名稱無法定義, 只知道能看到2023-2025的資料, 可讀寫的MS office file, 目前待當事人確認 去過該協會真的一窮二白, 在那邊找到一台G31跟AM3 785G的套裝電腦 硬碟皆已壞軌, 主機狀況未知 (沒空測) 目前已失去的東西有 WD 250G SSD (拆過焊過不敢給一般人用) WD 1TB HDD (已經打開過) 考慮做法: 找有UEFI的版子 (intel H61以上) 自組TrueNAS/ FreeNAS/ 黑群暉之類.. 至少 Linux based/ FreeBSD based 不會受到WannaCry攻擊 或是當事者願意花錢買成品NAS, 用辦公電腦開網芳又關Windows Update真的還會再出事 以上是36小時+++不睡撈出來的亂七八糟成果, 如果有高人指點比對撈出檔案與中毒檔案可以提供參考資料或協助 -------------（我又是分隔線) 撿垃圾環節 240-256G m.2 or SATA HDD (重做系統) 2TB HDD (ironwolf or skyhawk 4T 都要 4990以上..) 32G+ msata/sata SSD + 4TB HDD 有UEFI BIOS主機板 DDR3就可 (自組nas用) or 2TB+ USB外接硬碟 (如果對方分享器有USB port/samba功能, 目前未知) 以上, 做而言不如起而行, 回應對我有疑慮的版友. 也歡迎各路高手技術交流 至少是幫社福團體做好事 :D -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 112.104.191.115 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Storage_Zone/M.1774110661.A.B95.html