※※實際救援WannaCry加密的檔案 成功案例※※
WannaCry防範方式很多人寫過了
我這邊就不再另外補充
但媒體口徑統一說被WannaCry加密後僅能重灌
這是錯誤的概念
WannaCry防範方式很多人寫過了
我這邊就不再另外補充
但媒體口徑統一說被WannaCry加密後僅能重灌
這是錯誤的概念
————————————————————
12號當天我就將為變種的WannaCry病毒模型建立起來
我初步分析病毒行為
WannaCry將檔案複製一份加密後移除原始檔案。
只要硬碟還有剩餘空間,沒被嚴重複寫,基本上資料都可以救回來70~80%。
————————————————————
※第一步
當下朋友中標,打給我求救,我請他直接「斷電」
因為他的電腦是RAID10架構,無法拔硬碟出來解
所以我直接原機操作,使用WinPE開機
將病毒先移除刪除
(病毒路徑是隨機生成)
%ProgramData%\{random}
%ProgramData%\{random}\msg
%ProgramData%\{random}\TaskData
%ProgramData%\{random}\TaskData\Data
%ProgramData%\{random}\TaskData\Data\Tor
%ProgramData%\{random}\TaskData\Tor
%All User Profile%\{random}\msg
%All User Profile%\{random}\TaskData
%All User Profile%\{random}\TaskData\Data
%All User Profile%\{random}\TaskData\Data\Tor
%All User Profile%\{random}\TaskData\Tor
病毒名稱為
1.taskse.exe(加密程式)
2.taskdl.exe(刪除資源回收桶程式)
3.@WanaDecryptor@(解密程式)
我初步分析病毒行為
WannaCry將檔案複製一份加密後移除原始檔案。
只要硬碟還有剩餘空間,沒被嚴重複寫,基本上資料都可以救回來70~80%。
————————————————————
※第一步
當下朋友中標,打給我求救,我請他直接「斷電」
因為他的電腦是RAID10架構,無法拔硬碟出來解
所以我直接原機操作,使用WinPE開機
將病毒先移除刪除
(病毒路徑是隨機生成)
%ProgramData%\{random}
%ProgramData%\{random}\msg
%ProgramData%\{random}\TaskData
%ProgramData%\{random}\TaskData\Data
%ProgramData%\{random}\TaskData\Data\Tor
%ProgramData%\{random}\TaskData\Tor
%All User Profile%\{random}\msg
%All User Profile%\{random}\TaskData
%All User Profile%\{random}\TaskData\Data
%All User Profile%\{random}\TaskData\Data\Tor
%All User Profile%\{random}\TaskData\Tor
病毒名稱為
1.taskse.exe(加密程式)
2.taskdl.exe(刪除資源回收桶程式)
3.@WanaDecryptor@(解密程式)
※第二步
使用安全模式進入染毒作業系統
關閉全部服務與開機常駐
禁用系統還原
※第三步
使用 救回誤刪檔案的程式,我這次操作是用Recuva
安裝後開始撈資料, 能撈多少就撈多少嘍。
————————————————————
完成後我救回的檔案數量為 2.2TB/4TB
磁碟為 2T*2 RAID 10,硬碟使用率為43%
————————————————————
希望透過這個案例來幫各位救回寶貴的資料
如果不會操作的朋友,建議找訪間的資料救援公司
並表示這顆硬碟遭加密,請依造我上面的流程操作
救援公司幾乎都可以很完美的處理好
但能救多少就要看天了
————————————————————
希望各位能把這篇轉載出去,讓大家知道中WannaCry非無解
但換其他的加密病毒就不能保證可以用一樣的方式解決。
————————————————————
目前媒體與號稱3C達人關於病毒的消息
有很多都是錯誤的觀念,建議大家不要亂信
這次的解決方案其實很簡單
1.安裝Windows patch
2.如果沒用SMB功能直接關閉SMBv1(個人覺得很蠢)
3.直接建立一個病毒的關閉 Flag,這個需要一點技術所以不建議一般人用這方式MsWinZonesCacheCounterMutexA
4.WannaCry 有負面表列,其中有一個 \intel 也不會被加密
如果真的很重要的資料,可以搬到\Intel裡面,雖然很蠢但是有效xd
安裝後開始撈資料, 能撈多少就撈多少嘍。
————————————————————
完成後我救回的檔案數量為 2.2TB/4TB
磁碟為 2T*2 RAID 10,硬碟使用率為43%
————————————————————
希望透過這個案例來幫各位救回寶貴的資料
如果不會操作的朋友,建議找訪間的資料救援公司
並表示這顆硬碟遭加密,請依造我上面的流程操作
救援公司幾乎都可以很完美的處理好
但能救多少就要看天了
————————————————————
希望各位能把這篇轉載出去,讓大家知道中WannaCry非無解
但換其他的加密病毒就不能保證可以用一樣的方式解決。
————————————————————
目前媒體與號稱3C達人關於病毒的消息
有很多都是錯誤的觀念,建議大家不要亂信
這次的解決方案其實很簡單
1.安裝Windows patch
2.如果沒用SMB功能直接關閉SMBv1(個人覺得很蠢)
3.直接建立一個病毒的關閉 Flag,這個需要一點技術所以不建議一般人用這方式MsWinZonesCacheCounterMutexA
4.WannaCry 有負面表列,其中有一個 \intel 也不會被加密
如果真的很重要的資料,可以搬到\Intel裡面,雖然很蠢但是有效xd
————————————————————————————————————————
WANNACRY勒索病毒製造者
現身?!
自5月12日晚間開始,勒索病毒在全球爆發,並迅速侵入了企業與機構網路,造成大量用戶數據被鎖定索求解鎖贖金。
而正當人們在為勒索病毒而手忙腳亂之際,此款惡意軟體的開發者卻意外現身,像是在向世人”示威”。
一名ID:@SpamTech的Twitter用戶發布消息稱勒索病毒是由其團隊一名成員開發的,並表示團隊已經攻下了NHS之電腦與主要的工程系統運作模組。
目前,對於@SpamTech是否真是此次勒索病毒之製造者尚無法確認,但此病毒所帶來之巨大負面影響卻是真實存在的。據統計,目前全球100多個國家和地區都被勒索病毒所影響,估計全球已有超過10萬台電腦被感染。
————————————————————————————————————————
無意間看到這篇文章,希望這個方法,可以幫助對被勒索病毒殘害的人,另外聽說3.0已經開始攻擊了,還沒更新的人盡早更新吧!