wannacry勒索病毒的正确对应方式,wannacry勒索病毒攻击后果

  wannacry勒索病毒的正确对应方式,wannacry勒索病毒攻击后果

  最近WannaCry勒索者病毒浮出水面,攻击中途用户电脑的全部数据文件被恶意加密,解密文件需要支付赎金。而赎金是以比特币的形式交付的。问题是最近比特币涨的惊人!所以记得离线备份重要数据!如何防范WannaCry敲诈者?你可以查看边肖的另一篇文章。下面我们就来看看,万一遇到不幸,我们该如何尝试恢复被恶意加密的数据文件。

  图1 WannaCry病毒

  昨晚,在测试病毒时,边肖发现了一个奇怪的现象。当WannaCry没有完成加密时,原始文件与加密文件共存于加密文件目录中。WannaCry病毒加密完成后,数据的原始文件消失了,应该是被删除了。

  图2原始文件与加密文件共存的短暂时间

  被WannaCry勒索病毒加密的文件还能恢复吗?测量一下。

  如果只是简单的删除原文件,那么我们就有了恢复原文件的希望。但如果病毒删除文件,做的是“清除”文件操作,即删除文件后,用随机数据填充被删除文件的存储地址,因此数据恢复希望不大。

  不管怎样,我们来测量一下。

  首先把测试目录“手机qq7.0”放在测试人员的D盘上,里面有图片类型文件、文本文件、office文档,共计30个文件。

  图3测试文件夹内容

  然后边肖在测试机上运行WannaCry病毒(请不要模仿,数据文件被抹掉可不是闹着玩的)。过一会儿,测试文件夹中的数据文件被恶意加密。

  图4测试文件夹中的所有数据都被恶意加密。

  然后,边肖安装了一个数据恢复软件,试图恢复被删除的原始文件。

  图5启动数据恢复软件

  测试结果让边肖大吃一惊。她成功找到了被病毒删除的原始文件,并迅速尝试恢复操作。

  图6成功找到被病毒删除的原始文件。

  图7尝试恢复被删除的文件

  结果,边肖成功恢复了被病毒删除的原始文件。

  图8成功地恢复了原始文件。

  测试结束,幸好WannaCry病毒没有清理原始文件。然而,一些研究人员表示,WannaCry病毒会清理原始数据文件。病毒完成清除操作是否需要更多的等待时间?是新品种吗?需要注意的是,这种方法并不是解密被病毒加密的文件。病毒加密的文件加密强度高,病毒作者手中没有密钥,破解概率渺茫。

  (更新,有研究表明,该病毒只加密所有小于1.5M的文件,而大于1.5M的文件则采用非高强度加密,这可能是病毒作者为了加快加密速度而设置的。本文也会介绍大于1.5M的文件的恢复方法,你也可以试试。具体方法请往下看)。

  

注意事项:用户自行恢复文件需要有几个基本条件与注意事项

wannacry勒索病毒的正确对应方式,wannacry勒索病毒攻击后果