5月12日,黑客驅(qū)動(dòng)WannaCry/Wcry蠕蟲病毒,向全球用戶發(fā)出“勒索”挑戰(zhàn)。一些從來不知道“打補(bǔ)丁”,不清楚什么是445端口的無辜群眾因此受難。隨后,網(wǎng)上流言四起,一種說法是“數(shù)據(jù)可以自行解密”,另一種說法是“數(shù)據(jù)可以通過軟件恢復(fù)”,為了查明真相,亞信安全技術(shù)支持中心通過逆向病毒行為分析,發(fā)現(xiàn)了數(shù)據(jù)恢復(fù)中的“重大秘密”。
數(shù)據(jù)恢復(fù)不等于解密
近期,網(wǎng)上流傳一些“解密方法”,甚至有人說病毒作者良心發(fā)現(xiàn),已經(jīng)公布了解密密鑰,通過驗(yàn)證,這些都是謠言。亞信安全建議廣大公眾,輕信謠言的結(jié)果,還可能面臨“二次中毒”的風(fēng)險(xiǎn)。
針對(duì)本次爆發(fā)的勒索蠕蟲WannaCry, 到目前為止還沒有公布私鑰,而從黑客采用的加密技術(shù)原理來講,除非拿到對(duì)稱密鑰,否則無法實(shí)現(xiàn)解密。亞信安全網(wǎng)絡(luò)監(jiān)測(cè)實(shí)驗(yàn)室測(cè)試發(fā)現(xiàn):目前,能減少客戶損失的方法只有通過數(shù)據(jù)恢復(fù)技術(shù),而非解密技術(shù)來還原數(shù)據(jù)。
WannaCry勒索蠕蟲的3種加密行為
這一次WannaCry病毒引發(fā)的全球勒索蠕蟲風(fēng)暴,不僅是全球首款通過系統(tǒng)漏洞實(shí)現(xiàn)傳播的勒索蠕蟲,更在加密手段上獨(dú)樹一幟。經(jīng)過亞信安全對(duì)已經(jīng)獲取到的病毒樣本的逆向分析后發(fā)現(xiàn),編寫病毒的黑客,為了提高加密效率,WannaCry病毒有3中不同的加密行為:
第一種加密行為:桌面文件被“重寫”,數(shù)據(jù)不可恢復(fù)
亞信安全技術(shù)支持中心發(fā)現(xiàn),WannaCry勒索病毒首先會(huì)選擇用戶的“桌面”進(jìn)行加密,同時(shí)使用垃圾數(shù)據(jù)填充原文件(文件經(jīng)過多次重寫),然后刪除。黑客充分研究了普通用戶保存數(shù)據(jù)文件的行為,利用了大多數(shù)人將手頭重要文件保存在桌面的“壞習(xí)慣”。而在這種情況下,因?yàn)樵募呀?jīng)被覆蓋填充,所以這種方式處理過的文件是不可能被恢復(fù)的!
第二種加密行為:系統(tǒng)盤文件可部分恢復(fù),“文件名”徹底丟失
針對(duì)系統(tǒng)盤(一般是C盤), 勒索病毒在加密文件后,會(huì)重命名原文件為$數(shù)字.WNCRYT。如1.WNCRYT; 2.WNCRYT等,然后把這些文件移動(dòng)到“%TMP%目錄”下。這種方式處理過的文件,只能部分被恢復(fù)為*.WNCRYT文件。需要查看文件頭,確定文件類型后, 手動(dòng)修改為原始原件類型。例如1.WNCRYT修改為xxx.doc后可以恢復(fù)為原始的WORD文件。
第三種加密行為:其他盤符文件恢復(fù)可能性較大,概率由“磁盤剩余空間”決定
針對(duì)其他盤符(如D,E盤等),勒索病毒在加密文件后,直接刪除原文件。這種方式處理過的文件是有可能被恢復(fù)的。至于能恢復(fù)多少,要取決于原文件所在的扇區(qū)是否被重寫或者覆蓋過。通過測(cè)試發(fā)現(xiàn),當(dāng)一個(gè)盤符里面的數(shù)據(jù)量較少時(shí)(例如使用了30%),幾乎能恢復(fù)所有數(shù)據(jù);當(dāng)一個(gè)盤符里面的數(shù)據(jù)量較大時(shí)(例如使用了90%),只能恢復(fù)部分?jǐn)?shù)據(jù),有一部分?jǐn)?shù)據(jù)丟失;當(dāng)磁盤空間已滿時(shí),有的原始文件根本沒有被加密, 這種情況下,與普通數(shù)據(jù)恢復(fù)原理相同,大多數(shù)數(shù)據(jù)可以恢復(fù)。
3種加密行為下的數(shù)據(jù)恢復(fù)實(shí)驗(yàn)
為了證實(shí)以上3種行為與數(shù)據(jù)恢復(fù)之間的關(guān)聯(lián)性,亞信安全技術(shù)支持中心分別進(jìn)行了相關(guān)實(shí)驗(yàn)。
實(shí)驗(yàn)一:
使用病毒樣本感染測(cè)試機(jī), 然后嘗試使用數(shù)據(jù)恢復(fù)軟件恢復(fù)桌面上的文件。測(cè)試步驟和結(jié)果如下:
1. 病毒加密之后,桌面文件被加密。
2. 嘗試數(shù)據(jù)恢復(fù),可以發(fā)現(xiàn)所有C盤可恢復(fù)的用戶文件都在%TMP%下。
3. 恢復(fù)之后發(fā)現(xiàn),恢復(fù)的文件都是C盤其他目錄下的文件。 桌面文件無法恢復(fù)。
實(shí)驗(yàn)二:
使用病毒樣本感染測(cè)試機(jī), 然后嘗試使用數(shù)據(jù)恢復(fù)軟件恢復(fù)系統(tǒng)盤文件。測(cè)試步驟和結(jié)果如下:
1. 圖1所示,病毒在加密之后, 可以在%TMP%目錄下看到很多以WNCRYT為后綴的文件。
圖1:文件名后綴被修改為WNCRYT
2. 使用數(shù)據(jù)恢復(fù)軟件恢復(fù)出來的數(shù)據(jù)也是WNCRYT格式的文件。可以使用工具查看文件頭信息。 圖2中可以看到8.WNCRYT文件的真實(shí)文件類型是docx文件。
圖2:WNCRYT文件的真實(shí)文件類型是docx文件
3. 可以直接重命名文件格式, 就可以恢復(fù)該文件。 但是原始文件名是無法恢復(fù)的。
圖3:重命名文件格式可恢復(fù)文件
實(shí)驗(yàn)三:
使用病毒樣本感染測(cè)試機(jī), 然后嘗試使用數(shù)據(jù)恢復(fù)軟件恢復(fù)D盤和E盤文件。測(cè)試步驟和結(jié)果如下:
1. 在磁盤有空余的情況下,幾乎能100%恢復(fù)數(shù)據(jù)。
2. 在磁盤滿的情況下,只有部分文件被加密。 很多原文件直接被保留在磁盤上。
正確選擇數(shù)據(jù)恢復(fù)順序
為了保證測(cè)試的準(zhǔn)確有效,亞信安全技術(shù)支持中心測(cè)試了兩種操作系統(tǒng)、兩個(gè)病毒樣本、兩種數(shù)據(jù)恢復(fù)軟件,測(cè)試結(jié)果一致。結(jié)論如下:
桌面文件無法恢復(fù)。
系統(tǒng)盤文件可部分恢復(fù),但恢復(fù)難度較大。
其他盤符內(nèi)的文件容易被恢復(fù),且被恢復(fù)的可能性較大。
WannaCry 勒索軟件是不法分子通過改造之前泄露的NSA黑客武器庫(kù)中“永恒之藍(lán)”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件,利用了微軟基于445 端口傳播擴(kuò)散的 SMB 漏洞MS17-010。在提醒用戶及時(shí)安裝相關(guān)補(bǔ)丁和網(wǎng)絡(luò)安全軟件、開啟防火墻封堵網(wǎng)絡(luò)端口的同時(shí),亞信安全經(jīng)過上述實(shí)驗(yàn),建議受到WannaCry感染的客戶,請(qǐng)優(yōu)先恢復(fù)D,E等其他盤符內(nèi)的文件,對(duì)系統(tǒng)盤內(nèi)的文件用戶請(qǐng)選擇性恢復(fù)。
| 
