被WannaCry勒索蠕虫加密的文件是否能复原?-阿里云开发者社区

开发者社区> 云栖大讲堂> 正文

被WannaCry勒索蠕虫加密的文件是否能复原?

简介:
+关注继续查看

【51CTO.com原创稿件】自2017年5月12日勒索蠕虫WannaCry爆发以来,对于已经感染该勒索蠕虫的Windows用户来说,最头痛的莫过于电脑上的数据该怎么办呢?除了乖乖交出赎金,是否还有其他的办法找回数据吗?带着这一疑问,记者采访了亚信安全的安全专家们。

被WannaCry加密的文件,部分可恢复

“目前,加密的文件通过解密是不可能的,但是被删除的数据可做恢复。” 亚信安全通用安全产品管理副总经理刘政平说到。

WannaCry是一种蠕虫式勒索软件,利用NSA黑客武器库泄露的“永恒之蓝”发起病毒攻击。利用Windows SMB服务器漏洞CVE20170147渗透到Windows机器中,其中严重的漏洞允许远程执行代码传播迅速;一旦被攻击,暂无解密方式。

被WannaCry勒索蠕虫加密的文件是否能复原?

在对病毒样本的分析中,亚信安全发现攻击者利用勒索蠕虫WannaCry针对攻击的文档,会先做出一份加密文档,然后修改权限确认此份加密文档是无法被删除的。然后在某些情况下,它会对原受攻击的文档进行写入的动作,最后进行删除。即使采用数据恢复工具,并不能保证可以完全恢复受攻击文档的原始内容。但是,根据该勒索蠕虫的行为方式,我们可以恢复C盘之外的大部分数据。

亚信安全通用安全产品中心总经理童宁为记者详细解释到,无论是针对哪个盘的数据进行加密,加密的算法都是一样的。唯一的差距是删除的时候,把这个文件拷贝出来加密形成一个新文件。为了提高勒索效率,攻击者采用了不同的删除行为。一方面,攻击者会挑选桌面以及C盘一些文件进行清零操作,即:将文件从盘里拷贝出来,然后删除文件,采用清零算法,把数据全部写0,这时数据无法还原。另一方面,对于D、E等盘,攻击者采用简单的删除操作。例如仅仅删除文件头,修改文件类型,文件还在,此时数据可恢复。但是,至于能够恢复多少,则取决于原文件所在扇区是否被重写或者覆盖过。

此外,经测试发现,当一个盘符里面的数据量较少时(例如使用了30%),几乎能恢复所有数据;当一个盘符里面的数据量较大时(例如使用了90%),只能恢复部分数据,有一部分数据丢失;当磁盘空间已满时,有的原始文件根本没有被加密,这种情况下,与普通数据恢复原理相同,大多数数据可以恢复。

新的网络攻防需要有新的技术来应对新的挑战

记者了解到,在本次勒索攻击事件中,亚信安全没有一例客户受到影响。这是为什么?据刘政平介绍,首先,今年四月底亚信安全的全线产品针对微软“永恒之蓝”的漏洞发布了针对性的虚拟补丁和检测策略。其次,桌面安全解决方案OfficeScan 11 SP1,通过AGEIS引擎(行为监控)使用ADC(AccessDocument Control)功能对勒索软件恶意的加密行为实施拦截。第三,安全专家在事前协助用户部署虚拟补丁策略,事中协助用户进行配置更新和安全软件更新,事后进行详细分析及系统和优化,提供了全面的专家支持服务。

刘政平表示,新的网络攻防必须要有新的技术才能应对新的挑战,何况这是一个NSA花了很大代价开发出来的网络战略武器。亚信安全之所以能够成功抵御此次攻击,也离不开在新技术上的持续投入。例如:机器学习技术。在本次事件中,通过机器学习引擎的beta版,帮助用户成功有效地拦截了该勒索蠕虫。

通过为客户制定事前、事中、事后的安全策略,并强调补丁管理、异常行为检测、沙箱分析、机器学习等技术手段,亚信安全配合专业的安全服务,确保客户的配置更新以及安全软件更新。最终,即使用户侧在病毒码没有更新,在硬件网关失效,在系统没打补丁,在内网中招的情况下,亚信安全OfficeScan仍然成功抵御了此次勒索。

国内外的安全厂商都在想方设法应对勒索蠕虫病毒,并且取得了积极的成效。亚信安全技术支持中心总经理蔡昇钦介绍,比如亚信安全参与承建的国内多个省份的电信运营商使用的错误域名重定向系统,就能让病毒误以为成功访问了那个紧急停止“开关”,所有请求得到了解析成功的响应,客观上避免了病毒的二次传播。

与勒索蠕虫的战斗刚刚开始

“这次其实不是一个事件的结束,恰恰是一个开始。这一类蠕虫和勒索软件相融合的模式是第一次,带有一种示范效应。很多黑客发现如此有效,可能会依法炮制,利用相同手法进行传播和攻击。因此,未来这个威胁会越来越大,而且是跨平台、跨系统的。”刘政平表示。

蔡昇钦也认为:“WannaCry勒索蠕虫将会写入病毒发展史,它开启了一个新的病毒类型。它把蠕虫的行为加入攻击中,对未来的网络安全影响很大。在物联网时代,一旦跟勒索软件相结合,会对未来物联网的生活造成很大的影响。这也给企业敲响了警钟,企业需时刻重视补丁的更新。”

据悉,NSA泄露的漏洞还有一些没有揭露,这也意味着没有相应的补丁,而安全厂商更没有相应的安全规则。当这些漏洞被揭露的时候,我们该怎么办?

作为安全厂商总不能跟客户说,这是百年一遇的大攻击,我们的技术防不住。因此,厂商应需要尽快地引进和开发新技术,从而进行有效防御。

对用户来说,用病毒码这种被动式防护已慢慢失效,它无法解决系统级漏洞的传播模式。所以,用户需要采取主动防御、层层防护的模式,提前建好防护体系。对此,刘政平表示:“我们认为安全是一个三分靠技术,七分靠管理的体系化工作,建议企业做到预防为主,并同时做好事后的应急响应。”

作者:杜美洁
来源:51CTO

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
4138 0
Microsoft Excel 不能访问文件“ 文件名称或路径不存在。 • 文件正被其他程序使用。 • 您正要保存的工作簿与当前打开的工作簿同名。
Microsoft Office Excel 不能访问文件“D:\WWWRoot\KOBELCOSH\WebUI\ExcelTemplate\QUOTE5.xls”。 可能的原因有: 1 文件名称或路径不存在。
1703 0
03.Eclipse下Ndk开发(以文件加密为例模拟一下开发过程)
(创建于2017/12/2) 1.编写native方法 package com.example.ndk_file_encrpty; public class Cryptor { static{ System.
849 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
4597 0
过滤驱动加密文件(代码)
<table class="table2 " cellspacing="2" cellpadding="5" width="100%"><tbody> <tr> <td class="td12"> <p>摘要:     我想做一个unlocker一样的程序,不管这个文件有没有被使用,先实现删除它。在查资料过程中,就知道了如果不访问磁盘扇区的话,除非写驱动才能做到。奈何时间有限,工作匆忙,
1071 0
课程设计,文件加密
小提示,密码文件需要自己先创建一个txt文件自己输入6个字符密码,路径与代码的运行路径在一起。。。 /*题目:文件加密 文件的传输会有明文和密文的区别,明文发送时不安全的,用一个程序实现发送文件的加密和解密操作。
805 0
iOS读取文件Bundle pathForResource方法返回nil问题
检查代码 oc: NSString* soundPath = [[NSBundle mainBundle] pathForResource:@"wakeup" ofType:@"caf"]; NSLog(@"soundPath:%@", soundPath); swift 3.
1091 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
3892
文章
1754
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载