作者narihira2000 (老羊)
看板AntiVirus
標題[情報] wncry有救了?
時間Sat May 13 11:58:01 2017
剛剛在一個電腦的社團看到有人po出WanaCrypt行為模式分析
直接複製內文貼上:
被WannyCry加密的用戶檔案救援可能性分析
---------------------------------------------------------------
剛剛針對WannyCry病毒的模型分析
他的行為模式是
1.複製檔案到快取(記憶體或虛擬記憶體)
2.加密
3.刪除舊檔案
4.放出加密過的檔案
-----------------------------
很關鍵的地方!!!
檔案被標示為刪除後,不會馬上被抹除/複寫
所以當機立斷要做的事情
1.關機
2.使用第三方開機(另一台電腦、PE開機等)
使用類似「 Recuva」這種撈出磁區內刪除檔案
3.開始救援,但能救多少不知道,看你的磁碟滿的狀態
如果很空 那就可以救回來很多,如果很滿,恭喜你會被複寫掉很多..
※※流程我講的很粗糙,如果不會用,可以試著GOOGLE
或請身邊懂電腦的工具人幫忙,別找我謝謝。
一樣要分享出去就分享,不用過問我了
晚上我在寫一篇綁架病毒與ACL權限概念給大家..如果我有空的話qq
截圖:
http://imgur.com/ehX2T7z
不知道可不可行
有中獎的人要試試看嗎?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 103.5.102.185
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1494647884.A.69F.html
※ 編輯: narihira2000 (103.5.102.185), 05/13/2017 12:00:47
1F:推 saca572381: 如果把資料夾禁止寫入會有用嗎 之前就設定過了 只有存 05/13 12:02
2F:→ saca572381: 檔案才會改 存完會改回來 05/13 12:02
3F:推 hms5232: 意思是看得懂 感覺理論上可以 但能救回來多少真的未知數 05/13 12:03
4F:→ gwofeng: 可以用救誤刪檔案的救援軟體來掃 但數量應該不會很多 05/13 12:05
5F:推 StellaNe: 以前的勒索病毒好像就有這樣救回過 05/13 12:05
6F:推 athraugh: 推一下 05/13 12:07
7F:推 o030227: 我中伊莉那隻有靠救援軟體找回十幾G的檔案而已,不無小補 05/13 12:09
8F:推 Cactusman: 難 05/13 12:17
9F:推 ddrdod: 500G硬碟,使用了95%,等到被加密完畢,再用硬碟救援軟體 05/13 12:20
10F:推 CannonLake: 就跟救照片差不多啊 撈只刪除標頭 但實際未複寫的 理 05/13 12:20
11F:→ CannonLake: 論可行 但成效更差 因為這種一直蓋檔 不像古早只是純 05/13 12:20
12F:→ CannonLake: 刪 05/13 12:20
13F:→ ddrdod: 也救不到多少檔案了 崩╰(〒皿〒)╯潰 05/13 12:22
14F:→ jerrylin: 把檔案都改成唯讀有用嗎 05/13 12:30
15F:推 estupid: 硬碟裝滿的很容易就被蓋過去了 撈也撈不到了 05/13 12:31
16F:推 cangming: 唯讀會有用 但還是要看加密軟體的權限 05/13 13:02
17F:→ rexhaha: 很久以前就就試過了,只花了一堆時間而已。 05/13 13:35
18F:推 vi000246: 無聊去找源碼 看起來是直接加密的 複製一份太花時間了 05/13 13:35
19F:→ vi000246: 就像加入壓縮檔那樣 直接修改原檔 05/13 13:36
20F:推 gwofeng: 剛試了一下,它刪除的那份資料也是破壞過的 05/13 14:21
21F:→ gwofeng: 用救援軟體去撈資料的是白做工了 05/13 14:22
22F:推 weichen5566: 用那套軟體救援出來也是加密的檔案喔!沒用的 05/13 21:56