5月12日，黑客驅動WannaCry/Wcry蠕蟲病毒，向全球用戶發出“勒索”挑戰。一些從來不知道“打補丁”，不清楚什么是445端口的無辜群眾因此受難。隨后，網上流言四起，一種說法是“數據可以自行解密”，另一種說法是“數據可以通過軟件恢復”，為了查明真相，亞信安全技術支持中心通過逆向病毒行為分析，發現了數據恢復中的“重大秘密”。 
數據恢復不等于解密
近期，網上流傳一些“解密方法”，甚至有人說病毒作者良心發現，已經公布了解密密鑰，通過驗證，這些都是謠言。亞信安全建議廣大公眾，輕信謠言的結果，還可能面臨“二次中毒”的風險。
針對本次爆發的勒索蠕蟲WannaCry, 到目前為止還沒有公布私鑰，而從黑客采用的加密技術原理來講，除非拿到對稱密鑰，否則無法實現解密。亞信安全網絡監測實驗室測試發現：目前，能減少客戶損失的方法只有通過數據恢復技術，而非解密技術來還原數據。 
WannaCry勒索蠕蟲的3種加密行為
這一次WannaCry病毒引發的全球勒索蠕蟲風暴，不僅是全球首款通過系統漏洞實現傳播的勒索蠕蟲，更在加密手段上獨樹一幟。經過亞信安全對已經獲取到的病毒樣本的逆向分析后發現，編寫病毒的黑客，為了提高加密效率，WannaCry病毒有3中不同的加密行為：
第一種加密行為：桌面文件被“重寫”，數據不可恢復
亞信安全技術支持中心發現，WannaCry勒索病毒首先會選擇用戶的“桌面”進行加密，同時使用垃圾數據填充原文件（文件經過多次重寫），然后刪除。黑客充分研究了普通用戶保存數據文件的行為，利用了大多數人將手頭重要文件保存在桌面的“壞習慣”。而在這種情況下，因為原文件已經被覆蓋填充，所以這種方式處理過的文件是不可能被恢復的！
第二種加密行為：系統盤文件可部分恢復，“文件名”徹底丟失
針對系統盤（一般是C盤）， 勒索病毒在加密文件后，會重命名原文件為$數字.WNCRYT。如1.WNCRYT; 2.WNCRYT等，然后把這些文件移動到“%TMP%目錄”下。這種方式處理過的文件，只能部分被恢復為*.WNCRYT文件。需要查看文件頭，確定文件類型后， 手動修改為原始原件類型。例如1.WNCRYT修改為xxx.doc后可以恢復為原始的WORD文件。
第三種加密行為：其他盤符文件恢復可能性較大，概率由“磁盤剩余空間”決定
針對其他盤符（如D,E盤等），勒索病毒在加密文件后，直接刪除原文件。這種方式處理過的文件是有可能被恢復的。至于能恢復多少，要取決于原文件所在的扇區是否被重寫或者覆蓋過。通過測試發現，當一個盤符里面的數據量較少時（例如使用了30%），幾乎能恢復所有數據；當一個盤符里面的數據量較大時（例如使用了90%），只能恢復部分數據，有一部分數據丟失；當磁盤空間已滿時，有的原始文件根本沒有被加密， 這種情況下，與普通數據恢復原理相同，大多數數據可以恢復。 
3種加密行為下的數據恢復實驗
為了證實以上3種行為與數據恢復之間的關聯性，亞信安全技術支持中心分別進行了相關實驗。
實驗一：
使用病毒樣本感染測試機， 然后嘗試使用數據恢復軟件恢復桌面上的文件。測試步驟和結果如下：
1.    病毒加密之后，桌面文件被加密。
2.    嘗試數據恢復，可以發現所有C盤可恢復的用戶文件都在%TMP%下。
3.    恢復之后發現，恢復的文件都是C盤其他目錄下的文件。 桌面文件無法恢復。
實驗二：
使用病毒樣本感染測試機， 然后嘗試使用數據恢復軟件恢復系統盤文件。測試步驟和結果如下：
1.    圖1所示，病毒在加密之后， 可以在%TMP%目錄下看到很多以WNCRYT為后綴的文件。

圖1：文件名后綴被修改為WNCRYT
2. 使用數據恢復軟件恢復出來的數據也是WNCRYT格式的文件。可以使用工具查看文件頭信息。 圖2中可以看到8.WNCRYT文件的真實文件類型是docx文件。 

圖2：WNCRYT文件的真實文件類型是docx文件 
3. 可以直接重命名文件格式， 就可以恢復該文件。 但是原始文件名是無法恢復的。

 
圖3：重命名文件格式可恢復文件 
實驗三：
使用病毒樣本感染測試機， 然后嘗試使用數據恢復軟件恢復D盤和E盤文件。測試步驟和結果如下：
1.    在磁盤有空余的情況下，幾乎能100%恢復數據。
2.    在磁盤滿的情況下，只有部分文件被加密。 很多原文件直接被保留在磁盤上。 
正確選擇數據恢復順序
為了保證測試的準確有效，亞信安全技術支持中心測試了兩種操作系統、兩個病毒樣本、兩種數據恢復軟件，測試結果一致。結論如下：
 桌面文件無法恢復。
系統盤文件可部分恢復，但恢復難度較大。
 其他盤符內的文件容易被恢復，且被恢復的可能性較大。
 WannaCry 勒索軟件是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發起的網絡攻擊事件，利用了微軟基于445 端口傳播擴散的 SMB 漏洞MS17-010。在提醒用戶及時安裝相關補丁和網絡安全軟件、開啟防火墻封堵網絡端口的同時，亞信安全經過上述實驗，建議受到WannaCry感染的客戶，請優先恢復D，E等其他盤符內的文件，對系統盤內的文件用戶請選擇性恢復。