WannaCry數據恢複方案

發布日期:2017-05-19首頁 > 安全資(zī)訊

 

5月12日,黑客驅動WannaCry/Wcry蠕蟲病毒,向全球用戶發出“勒索”挑戰。一(yī)些從來不知(zhī)道“打補丁”,不清楚什麽是445端口的無辜群衆因此受難。随後,網上流言四起,一(yī)種說法是“數據可以自行解密”,另一(yī)種說法是“數據可以通過軟件恢複”,爲了查明真相,亞信安全技術支持中(zhōng)心通過逆向病毒行爲分(fēn)析,發現了數據恢複中(zhōng)的“重大(dà)秘密”。 

 

數據恢複不等于解密

近期,網上流傳一(yī)些“解密方法”,甚至有人說病毒作者良心發現,已經公布了解密密鑰,通過驗證,這些都是謠言。亞信安全建議廣大(dà)公衆,輕信謠言的結果,還可能面臨“二次中(zhōng)毒”的風險。

針對本次爆發的勒索蠕蟲WannaCry, 到目前爲止還沒有公布私鑰,而從黑客采用的加密技術原理來講,除非拿到對稱密鑰,否則無法實現解密。亞信安全網絡監測實驗室測試發現:目前,能減少客戶損失的方法隻有通過數據恢複技術,而非解密技術來還原數據。 

WannaCry勒索蠕蟲的3種加密行爲

這一(yī)次WannaCry病毒引發的全球勒索蠕蟲風暴,不僅是全球首款通過系統漏洞實現傳播的勒索蠕蟲,更在加密手段上獨樹(shù)一(yī)幟。經過亞信安全對已經獲取到的病毒樣本的逆向分(fēn)析後發現,編寫病毒的黑客,爲了提高加密效率,WannaCry病毒有3中(zhōng)不同的加密行爲:

第一(yī)種加密行爲:桌面文件被“重寫”,數據不可恢複

亞信安全技術支持中(zhōng)心發現,WannaCry勒索病毒首先會選擇用戶的“桌面”進行加密,同時使用垃圾數據填充原文件(文件經過多次重寫),然後删除。黑客充分(fēn)研究了普通用戶保存數據文件的行爲,利用了大(dà)多數人将手頭重要文件保存在桌面的“壞習慣”。而在這種情況下(xià),因爲原文件已經被覆蓋填充,所以這種方式處理過的文件是不可能被恢複的!

第二種加密行爲:系統盤文件可部分(fēn)恢複,“文件名”徹底丢失

針對系統盤(一(yī)般是C盤), 勒索病毒在加密文件後,會重命名原文件爲$數字.WNCRYT。如1.WNCRYT; 2.WNCRYT等,然後把這些文件移動到“%TMP%目錄”下(xià)。這種方式處理過的文件,隻能部分(fēn)被恢複爲*.WNCRYT文件。需要查看文件頭,确定文件類型後, 手動修改爲原始原件類型。例如1.WNCRYT修改爲xxx.doc後可以恢複爲原始的WORD文件。

第三種加密行爲:其他盤符文件恢複可能性較大(dà),概率由“磁盤剩餘空間”決定

針對其他盤符(如D,E盤等),勒索病毒在加密文件後,直接删除原文件。這種方式處理過的文件是有可能被恢複的。至于能恢複多少,要取決于原文件所在的扇區是否被重寫或者覆蓋過。通過測試發現,當一(yī)個盤符裏面的數據量較少時(例如使用了30%),幾乎能恢複所有數據;當一(yī)個盤符裏面的數據量較大(dà)時(例如使用了90%),隻能恢複部分(fēn)數據,有一(yī)部分(fēn)數據丢失;當磁盤空間已滿時,有的原始文件根本沒有被加密, 這種情況下(xià),與普通數據恢複原理相同,大(dà)多數數據可以恢複。 

 

3種加密行爲下(xià)的數據恢複實驗

爲了證實以上3種行爲與數據恢複之間的關聯性,亞信安全技術支持中(zhōng)心分(fēn)别進行了相關實驗。

實驗一(yī):

使用病毒樣本感染測試機, 然後嘗試使用數據恢複軟件恢複桌面上的文件。測試步驟和結果如下(xià):

1.    病毒加密之後,桌面文件被加密。

2.    嘗試數據恢複,可以發現所有C盤可恢複的用戶文件都在%TMP%下(xià)。

3.    恢複之後發現,恢複的文件都是C盤其他目錄下(xià)的文件。 桌面文件無法恢複。

實驗二:

使用病毒樣本感染測試機, 然後嘗試使用數據恢複軟件恢複系統盤文件。測試步驟和結果如下(xià):

1.    圖1所示,病毒在加密之後, 可以在%TMP%目錄下(xià)看到很多以WNCRYT爲後綴的文件。

1.png

圖1:文件名後綴被修改爲WNCRYT

2. 使用數據恢複軟件恢複出來的數據也是WNCRYT格式的文件。可以使用工(gōng)具查看文件頭信息。 圖2中(zhōng)可以看到8.WNCRYT文件的真實文件類型是docx文件。

2.png

圖2:WNCRYT文件的真實文件類型是docx文件

3. 可以直接重命名文件格式, 就可以恢複該文件。 但是原始文件名是無法恢複的。

3.png

圖3:重命名文件格式可恢複文件

實驗三:

使用病毒樣本感染測試機, 然後嘗試使用數據恢複軟件恢複D盤和E盤文件。測試步驟和結果如下(xià):

1.    在磁盤有空餘的情況下(xià),幾乎能100%恢複數據。

2.    在磁盤滿的情況下(xià),隻有部分(fēn)文件被加密。 很多原文件直接被保留在磁盤上。 

 

正确選擇數據恢複順序

爲了保證測試的準确有效,亞信安全技術支持中(zhōng)心測試了兩種操作系統、兩個病毒樣本、兩種數據恢複軟件,測試結果一(yī)緻。結論如下(xià):

 桌面文件無法恢複。

系統盤文件可部分(fēn)恢複,但恢複難度較大(dà)。

 其他盤符内的文件容易被恢複,且被恢複的可能性較大(dà)。

 WannaCry 勒索軟件是不法分(fēn)子通過改造之前洩露的NSA黑客武器庫中(zhōng)“永恒之藍(lán)”攻擊程序發起的網絡攻擊事件,利用了微軟基于445 端口傳播擴散的 SMB 漏洞MS17-010。在提醒用戶及時安裝相關補丁和網絡安全軟件、開(kāi)啓防火(huǒ)牆封堵網絡端口的同時,亞信安全經過上述實驗,建議受到WannaCry感染的客戶,請優先恢複D,E等其他盤符内的文件,對系統盤内的文件用戶請選擇性恢複。