作者narihira2000 (老羊)
看板AntiVirus
标题[情报] wncry有救了?
时间Sat May 13 11:58:01 2017
刚刚在一个电脑的社团看到有人po出WanaCrypt行为模式分析
直接复制内文贴上:
被WannyCry加密的用户档案救援可能性分析
---------------------------------------------------------------
刚刚针对WannyCry病毒的模型分析
他的行为模式是
1.复制档案到快取(记忆体或虚拟记忆体)
2.加密
3.删除旧档案
4.放出加密过的档案
-----------------------------
很关键的地方!!!
档案被标示为删除後,不会马上被抹除/复写
所以当机立断要做的事情
1.关机
2.使用第三方开机(另一台电脑、PE开机等)
使用类似「 Recuva」这种捞出磁区内删除档案
3.开始救援,但能救多少不知道,看你的磁碟满的状态
如果很空 那就可以救回来很多,如果很满,恭喜你会被复写掉很多..
※※流程我讲的很粗糙,如果不会用,可以试着GOOGLE
或请身边懂电脑的工具人帮忙,别找我谢谢。
一样要分享出去就分享,不用过问我了
晚上我在写一篇绑架病毒与ACL权限概念给大家..如果我有空的话qq
截图:
http://imgur.com/ehX2T7z
不知道可不可行
有中奖的人要试试看吗?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 103.5.102.185
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1494647884.A.69F.html
※ 编辑: narihira2000 (103.5.102.185), 05/13/2017 12:00:47
1F:推 saca572381: 如果把资料夹禁止写入会有用吗 之前就设定过了 只有存 05/13 12:02
2F:→ saca572381: 档案才会改 存完会改回来 05/13 12:02
3F:推 hms5232: 意思是看得懂 感觉理论上可以 但能救回来多少真的未知数 05/13 12:03
4F:→ gwofeng: 可以用救误删档案的救援软体来扫 但数量应该不会很多 05/13 12:05
5F:推 StellaNe: 以前的勒索病毒好像就有这样救回过 05/13 12:05
6F:推 athraugh: 推一下 05/13 12:07
7F:推 o030227: 我中伊莉那只有靠救援软体找回十几G的档案而已,不无小补 05/13 12:09
8F:推 Cactusman: 难 05/13 12:17
9F:推 ddrdod: 500G硬碟,使用了95%,等到被加密完毕,再用硬碟救援软体 05/13 12:20
10F:推 CannonLake: 就跟救照片差不多啊 捞只删除标头 但实际未复写的 理 05/13 12:20
11F:→ CannonLake: 论可行 但成效更差 因为这种一直盖档 不像古早只是纯 05/13 12:20
12F:→ CannonLake: 删 05/13 12:20
13F:→ ddrdod: 也救不到多少档案了 崩╰(〒皿〒)╯溃 05/13 12:22
14F:→ jerrylin: 把档案都改成唯读有用吗 05/13 12:30
15F:推 estupid: 硬碟装满的很容易就被盖过去了 捞也捞不到了 05/13 12:31
16F:推 cangming: 唯读会有用 但还是要看加密软体的权限 05/13 13:02
17F:→ rexhaha: 很久以前就就试过了,只花了一堆时间而已。 05/13 13:35
18F:推 vi000246: 无聊去找源码 看起来是直接加密的 复制一份太花时间了 05/13 13:35
19F:→ vi000246: 就像加入压缩档那样 直接修改原档 05/13 13:36
20F:推 gwofeng: 刚试了一下,它删除的那份资料也是破坏过的 05/13 14:21
21F:→ gwofeng: 用救援软体去捞资料的是白做工了 05/13 14:22
22F:推 weichen5566: 用那套软体救援出来也是加密的档案喔!没用的 05/13 21:56