轉自:盤石軟體PANSAFE(ID:Pansafe)
從本月12號開始,一款名為WannaCry的蠕蟲勒索病毒在全球範圍內瘋狂傳播。的多個行業內網網路也被感染,政府、企業和高校成為主要侵襲目標。
很不幸,盤石軟體的用戶有被WannaCry蠕蟲感染的案例;很幸運,用戶擁有盤石軟體的SafeAnalyzer產品。
【案例分享】
某用戶在自己的電腦中發現了WannaCry蠕蟲勒索軟體界面,通過文件管理器發現部分重要文件已經被WannaCry加密。為了避免WannaCry加密更多的文件和附近網路主機的交叉感染,用戶第一時間關閉電腦,切斷網路。為了找回被感染的重要文件,用戶把電腦硬碟拆下,用盤石SafeAnalyzer載入硬碟,通過文件特徵恢復,恢復出了被感染的重要文件。
【WannaCry蠕蟲勒索軟體的文件處理方式介紹】
感染WannaCry蠕蟲之後,WannaCry會逐步對部分類型文件加密,加密完成後刪除原文件,以此方式勒索用戶付款解密被WannaCry加密的文件。我們知道,找回原文件最理想方法是解密被加密的文件,可惜到目前為止,沒有成功的解密方法。由於WannaCry把文件加密后刪除原文件的做法,我們可以通過恢復刪除文件的方式找回原文件。
WannaCry界面
【實戰方法總結】
根據實戰案例及實驗推演,如果發現電腦被WannaCry蠕蟲感染,正確步驟如下:
第一步:關機,斷網
關機的目的是避免更多的文件被WannaCry加密,斷網目的是為了避免附近網路主機感染WannaCry蠕蟲。
第二步:離線製作鏡像
利用盤石現場取證產品SafeImager離線啟動電腦對硬碟進行鏡像製作,用於文件恢復,此方法的優勢是不拆機製作鏡像。如用戶不怕麻煩,願意拆機,此步驟可以省略,之後直接載入硬碟,直接對硬碟進行文件的刪除恢復操作。
SafeImager離線鏡像
第三步:刪除恢復
針對WannaCry蠕蟲刪除的原文件,SafeAnalyzer提供了3種效果比較好的文件恢復方法。
(1) 文件特徵恢復
文件特徵恢復,是依據文件的特徵對文件進行恢復的方法,也是前文分享的實戰案例中用戶使用的恢復方法。
文件特徵恢復出的結果
(2) 目錄恢復
通過目錄恢復,可以恢復出WannaCry刪除的原文件。
(3) 卷快照分析
Windows系統自Win7開始,保護設置默認開啟,系統會自動創建還原點,很多文件都會放入其中,利用SafeAnalyzer的卷快照分析,可以恢復出在創建還原點之前放到硬碟中的文件。
卷快照分析後過濾doc文檔
關於卷快照分析功能,SafeAnalyzer在13年初就已經支持,是國內第一款支持卷快照分析的取證軟體產品。可以很好的應用到本次WannaCry蠕蟲事件中。十年磨礪,SA從不爭頭條;低調恢復,行不行只看成效。
推薦閱讀:
2、WANNACRY勒索軟體密鑰生成和使用分析
https://zhuanlan.zhihu.com/p/26889184?utm_medium=social&utm_source=wechat_session
3、國家計算機病毒中心發現勒索病毒新變種,擴展名為UIWIX
http://mp.weixin.qq.com/s?__biz=MzA5OTIyNTcyOQ==&mid=2698867400&idx=1&sn=3a1cecf1a1912fab60f897b65e4a0dbf&chksm=b5ac4b2682dbc2303111454f8fc9cd2e5b33cc7967d918fd4e4630ab972794463f3639d7180c&scene=0#rd
4、(深度解析)勒索病毒背後的真相!
https://mp.weixin.qq.com/s?__biz=MjM5MDQyNDEyNA==&mid=2649842283&idx=1&sn=1b29cf7601f5c85dd56a99e0c4098ce1&chksm=be40cf388937462e1372183a6297d20e001de3544795e4e340ddd170652952c5f67594dcc3b2&scene=0#rd
5、美軍方竟存在被WannaCry勒索病毒感染的電腦 原因成謎
https://mp.weixin.qq.com/s?__biz=MzI4MjA1MzkyNA==&mid=2655295259&idx=1&sn=0e14ada813482efb448d5ef375ec415d&chksm=f02feb50c75862464c09154392a97de8678ed93afdef3032774f6670ac1f1bcee9a996f2a98e&scene=0#rd