WannaCry是一种蠕虫式勒索软件，应用NSA黑客兵器库泄漏的“永恒之蓝”提议病毒进击。应用Windows SMB办事器马脚CVE20170147渗入渗出到Windows机械中，个中严重的马脚许可长途履行代码传播敏捷;一旦被进击，暂无解密方法。

【51CTO.com原创稿件】自2017年5月12日勒索蠕虫WannaCry爆发以来，对于已经感染该勒索蠕虫的Windows用户来说，最头痛的莫过于电脑上的数据该怎么办呢?除了乖乖交出赎金，是否还有其他的办法找回数据吗?带着这一疑问，记者查访了亚信安然的安然专家们。

邮攀勒索蠕虫的┞方斗方才开端

被WannaCry加密的文件，部分可恢复

“今朝，加密的文件经由过程解密是弗成能的，然则被删除的数据可做恢复。” 亚信安然通用平安产品治理副总经理刘政平说到。

在对病毒样本的分析中，亚信安然发明进击者应用勒索蠕虫WannaCry针对进击的文档，会先做出一份加密文档，然后修改权限确认此份加密文档是无法被删除的。然后在某些情况下，它会对原受进击的文档进行写入的动作，最落后行删除。即使采取数据恢复对象，并不克不及包管可以完全恢复受进击文档的原始内容。然则，根据该勒索蠕虫的行动方法，我们可以恢复C盘之外的大年夜部分数据。

亚信安然通用平安产品中间总经理童宁为记者具体解释到，无论是针对哪个盘的数据进行加密，加密的算法都是一样的。独一的差距是删除的时刻，把这个文件拷贝出来加密形成一个新文件。为了进步勒索效力，进击者采取了不合的删除行动。一方面，进击者会遴选桌面以及C盘一些文件进行清零操作，即：将文件大年夜盘里拷贝出来，然后删除文件，采取清零算法，把数据全部写0，这时数据无法还原。另一方面，对于D、E等盘，进击者采取简单的删除操作。例如仅仅删除文件头，修改文件类型，文件还在，此时数据可恢复。然则，至于可以或许恢复若干，则取决于原文件地点扇区是否被重写或者覆盖过。

此外，经测试发明，当一个盘符琅绫擎的数据量较少时(例如应用了30%)，几乎能恢复所稀有据;当一个盘符琅绫擎的数据量较大年夜时(例如应用了90%)，只能恢复部分数据，有一部分数据损掉;当磁盘空间已满时，有的原始文件根本没有被加密，这种情况下，与通俗数据恢答复复惺攀理雷同，大年夜多半数据可以恢复。

新的收集攻防须要有新的技巧来竽暌功对新的挑衅

记者懂得到，在本次勒索进击事伊闼楝亚信安然没有一例客户受到影响。这是为什么?据刘政平介绍，起首，本年四月底亚信安然的全线产品针对微软“永恒之蓝”的马脚宣布了针对性的虚拟补丁和检测策略。其次，桌面安然解决筹划OfficeScan 11 SP1，经由过程AGEIS引擎(行动监控)应用ADC(AccessDocument Control)功能对勒索软件恶意的加密行动实施拦截。第三，安然专家在事前协助用户安排虚拟补丁策略，事中协助用户进行设备更新和安然软件更新，事落后行具体分析及体系和优化，供给了周全的专家支撑办事。

刘政平表示，新的收集攻防必须要有新的技巧才能应对新的挑衅，何况这是一个NSA花了很大年夜价值开辟出来的收集计谋兵器。亚信安然之所以可以或许成功抵抗此次进击，也离不开在新技巧上的持续投入。例如：机械进修技巧。在本次事伊闼楝经由过程机械进修引擎的beta版，赞助用户成功有效地拦截了该勒索蠕虫。

经由过程为客户制订事前、事中、过后的安然策略，并强调补丁治理、异常行动检测、沙箱分析、机械进修等技巧手段，亚信安然合营专业的安然办事，确保客户的设备更新以及安然软件更新。最终，即应用户侧在病毒码没有更新，在硬件网关掉效，在体系没打补丁，在内网中招的情况下，亚信安然OfficeScan仍然成功抵抗了此次勒索。

国表里的安然厂商都在想方设法应对勒索蠕虫病毒，并且取得了积极的成效。亚信安然技巧支撑中间总经理蔡昇钦介绍，比如亚信安然介入承建的国内多个省份的电信运营商应用的缺点域名重定向体系，就能让病毒误认为成功拜访了那个紧急停止“开关”，所有请求获得懂得析成功的响应，客不雅上避免了病毒的二次传播。

“此次其实不是一个事宜的停止，恰好是一个开端。这一类蠕虫和勒索软件相融合的模式是第一次，带有一种示范效应。很多黑客发明如斯有效，可能会依法炮制，应用雷同手段进行传播和进击。是以，将来这个威逼会越来越大年夜，并且是跨平台、跨体系的。”刘政平表示。

蔡昇钦也认为：“WannaCry勒索蠕虫将会写入病毒成长史，它开启了一个新的病毒类型。它把蠕虫的行动参加进击中，对将来的收集安然影响很大年夜。在物联网时代，一旦跟勒索软件相结合，会对将来物联网的生活造成很大年夜的影响。这也给企业敲响了警钟，企业需时刻看重补丁的更新。”

据悉，NSA泄漏的马脚还有一些没有揭穿，这也意味着没有响应的补丁，而安然厂商更没有响应的安然规矩。当这些马脚被揭穿的时刻，我们该怎么办?

作为安然厂商总不克不及跟客户说，这是百年一遇的大年夜进击，我们的技巧防不住。是以，厂商应须要尽快地引进和开辟新技巧，大年夜而进行有效防御。

对用户来说，用处毒码这种被动式防护已慢慢掉效，它无法解决体系级马脚的传播模式。所以，用户须要采取主动防御、层层防护的模式，提前建好防护体系。对此，刘政平表示：“我们认为安然是一个三分靠技巧，七分靠治理的体系化工作，建议企业做到预防为主，并同时髦功德后的应急响应。”

【51CTO原创稿件，合作站点缀载请注明原文作者和出处为51CTO.com】

【编辑推荐】

1. 应对WannaCry/Wcry勒索病毒开机指南
2. 【重大年夜发明】中招WannaCry, 真的可以还原数据！?
3. 哥不恫吓你，WannaCry可能仅仅是个开端!

【义务编辑：蓝雨泪 TEL：（010）68476606】

　　推荐阅读

　　5G未至，却触手可及

5G今朝是业界最惹人注目标新技巧，也是业界存眷的中间。无线通信范畴的标准化过程和治理机构赓续成长，以及新>>>详细阅读

本文标题：被WannaCry勒索蠕虫加密的文件是否能复原?

地址：http://www.17bianji.com/lsqh/35368.html

 1/2    1