【Don't cry , let's try SA 】wannacry蠕蟲感染后的實戰案例分享及總結

轉自：盤石軟體PANSAFE（ID：Pansafe）

從本月12號開始，一款名為WannaCry的蠕蟲勒索病毒在全球範圍內瘋狂傳播。的多個行業內網網路也被感染，政府、企業和高校成為主要侵襲目標。

很不幸，盤石軟體的用戶有被WannaCry蠕蟲感染的案例；很幸運，用戶擁有盤石軟體的SafeAnalyzer產品。

【案例分享】

某用戶在自己的電腦中發現了WannaCry蠕蟲勒索軟體界面，通過文件管理器發現部分重要文件已經被WannaCry加密。為了避免WannaCry加密更多的文件和附近網路主機的交叉感染，用戶第一時間關閉電腦，切斷網路。為了找回被感染的重要文件，用戶把電腦硬碟拆下，用盤石SafeAnalyzer載入硬碟，通過文件特徵恢復，恢復出了被感染的重要文件。

【WannaCry蠕蟲勒索軟體的文件處理方式介紹】

感染WannaCry蠕蟲之後，WannaCry會逐步對部分類型文件加密，加密完成後刪除原文件，以此方式勒索用戶付款解密被WannaCry加密的文件。我們知道，找回原文件最理想方法是解密被加密的文件，可惜到目前為止，沒有成功的解密方法。由於WannaCry把文件加密后刪除原文件的做法，我們可以通過恢復刪除文件的方式找回原文件。

WannaCry界面

【實戰方法總結】

根據實戰案例及實驗推演，如果發現電腦被WannaCry蠕蟲感染，正確步驟如下：

第一步：關機，斷網

關機的目的是避免更多的文件被WannaCry加密，斷網目的是為了避免附近網路主機感染WannaCry蠕蟲。

第二步：離線製作鏡像

利用盤石現場取證產品SafeImager離線啟動電腦對硬碟進行鏡像製作，用於文件恢復，此方法的優勢是不拆機製作鏡像。如用戶不怕麻煩，願意拆機，此步驟可以省略，之後直接載入硬碟，直接對硬碟進行文件的刪除恢復操作。

SafeImager離線鏡像

第三步：刪除恢復

針對WannaCry蠕蟲刪除的原文件，SafeAnalyzer提供了3種效果比較好的文件恢復方法。

(1) 文件特徵恢復

文件特徵恢復，是依據文件的特徵對文件進行恢復的方法，也是前文分享的實戰案例中用戶使用的恢復方法。

文件特徵恢復出的結果

(2) 目錄恢復

通過目錄恢復，可以恢復出WannaCry刪除的原文件。

(3) 卷快照分析

Windows系統自Win7開始，保護設置默認開啟，系統會自動創建還原點，很多文件都會放入其中，利用SafeAnalyzer的卷快照分析，可以恢復出在創建還原點之前放到硬碟中的文件。

卷快照分析後過濾doc文檔

關於卷快照分析功能，SafeAnalyzer在13年初就已經支持，是國內第一款支持卷快照分析的取證軟體產品。可以很好的應用到本次WannaCry蠕蟲事件中。十年磨礪，SA從不爭頭條；低調恢復，行不行只看成效。

推薦閱讀：

2、WANNACRY勒索軟體密鑰生成和使用分析

https://zhuanlan.zhihu.com/p/26889184?utm_medium=social&utm_source=wechat_session

3、國家計算機病毒中心發現勒索病毒新變種，擴展名為UIWIX

http://mp.weixin.qq.com/s?__biz=MzA5OTIyNTcyOQ==&mid=2698867400&idx=1&sn=3a1cecf1a1912fab60f897b65e4a0dbf&chksm=b5ac4b2682dbc2303111454f8fc9cd2e5b33cc7967d918fd4e4630ab972794463f3639d7180c&scene=0#rd

4、（深度解析）勒索病毒背後的真相！

https://mp.weixin.qq.com/s?__biz=MjM5MDQyNDEyNA==&mid=2649842283&idx=1&sn=1b29cf7601f5c85dd56a99e0c4098ce1&chksm=be40cf388937462e1372183a6297d20e001de3544795e4e340ddd170652952c5f67594dcc3b2&scene=0#rd

5、美軍方竟存在被WannaCry勒索病毒感染的電腦 原因成謎

https://mp.weixin.qq.com/s?__biz=MzI4MjA1MzkyNA==&mid=2655295259&idx=1&sn=0e14ada813482efb448d5ef375ec415d&chksm=f02feb50c75862464c09154392a97de8678ed93afdef3032774f6670ac1f1bcee9a996f2a98e&scene=0#rd