WannaCry感染文件恢复方法,企业再也不用愁了!

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: WannaCry感染文件恢复方法,已经感染的电脑文件要如何恢复?我们发现代码中充满了错误,受害者能够利用一些简单命令就恢复文件,企业再也不用愁了!
WannaCry勒索软件感染了全球超过30万台计算机,不少朋友周一上班时发现自己的电脑已经感染了WannaCry。虽然现在病毒已经得到控制,但是已经感染的电脑文件要如何恢复?
深入分析WannaCry代码后,我们发现代码中充满了错误,受害者能够利用一些简单命令就恢复文件,企业再也不用愁了!
WannaCry感染文件恢复方法,企业再也不用愁了!
恢复只读文件
由于恶意软件不可能直接加密或修改只读文件,WannaCry会复制这些文件并创建加密版本。虽然原始文件并没有动,但被赋予一个”hidden”属性,要恢复原始数据仅需受害者恢复其正常属性即可。
这并非WannaCry源代码中的唯一错误,在某些情况下,它在加密后并未删除文件。

从系统盘(C盘)中恢复文件

研究人员表示,存储在重要文件夹中的文件如桌面或文档文件夹在没有解密密钥的情况下无法被恢复,因为WannaCry旨在在恢复原始文件前用随机数据覆写原始文件。
然而,研究人员注意到存储在系统盘重要文件夹之外的其它文件能通过使用数据恢复软件从临时文件夹中恢复。研究人员指出,“原始文件会被迁移到%TEMP%\%d.WNCRYT(%d指的是数值)。这些文件包含原始数据且并未被覆写”。

从非系统盘中恢复文件
对于非系统盘来说,WannaCry勒索软件创建了一个隐藏的’$RECYCLE’文件夹并将原始文件加密后迁移到这个目录下。只要将这个文件夹显示隐藏就能恢复文件。
另外,由于WannaCry代码中存在“同步错误”,在很多情况下,原始文件还位于相同的目录下,这样受害者就能通过可用的数据恢复软件恢复被不安全删除的文件。

避免网站因中毒遭受损失
网站问题排查
系统安全优化 | 清除木马病毒

安全资讯和技术尽在云市场头条安全动态:https://yq.aliyun.com/teams/61/type_blog-cid_158
更多安全工具和服务,进入云市场安全频道:https://market.aliyun.com/security
相关文章
|
4月前
|
安全
遭遇流氓软件 CPUSH
遭遇流氓软件 CPUSH
|
Web App开发 云安全 安全
IE漏洞致数百万用户中招 快用瑞星卡卡打补丁
北京时间12月18日凌晨,微软发布了针对IE浏览器漏洞的最新补丁MS08-078,这是该公司今年第二次打破常规发布紧急漏洞补丁。瑞星旗下卡卡上网安全助手也进行了紧急升级,非正版软件用户可以用瑞星卡卡(http://tool.ikaka.com)来弥补这个系统漏洞。
1108 0
|
安全
端午小长假谨防挂马网站 病毒模仿杀软骗取钱财
随着端午小长假的临近,上网人数增加,这段时间的挂马网站和木马病毒都有肆虐的趋势。5月25日,瑞星“云安全”系统就从截获的挂马网站中,发现了一个冒充杀毒软件、企图骗取钱财的广告软件病毒,并命名为“WINPC 广告病毒(Adware.Win32.Agent.Dbj)”。
1104 0
|
安全
悲剧:金山毒霸官网被黑客攻破
6月2日下午两点左右,本网接读者反应,发现金山毒霸官网博客被黑客劫持,网页内容已面目全非。 在输入金山毒霸官网地址http://blog.duba.net/,已没有金山毒霸关于其产品的介绍及下载,变成了封署名为熊猫烧香致铁军的一封信,信中除了一些莫名其妙,令人费解的怪话外,附加了伟哥产品的图片,实为黑客的恶作剧。
1031 0
|
安全 数据可视化 网络协议
|
安全 测试技术 数据安全/隐私保护
XP用户意外惊喜!中了想哭(WannaCry)勒索病毒后有机会解密数据
本文讲的是XP用户意外惊喜!中了想哭(WannaCry)勒索病毒后有机会解密数据,法国Quarkslab研究员阿德里安·古奈特(Adrien Guinet)周四表示,如果Windows XP系统遭到WCry勒索病毒的感染,用户可以自行解密数据,不必支付300至600美元的赎金。
1912 0
|
安全 数据安全/隐私保护
想哭(WannaCry)勒索病毒中招后,该怎么恢复数据?(非解密)
本文讲的是想哭(WannaCry)勒索病毒中招后,该怎么恢复数据?(非解密),受WannaCry勒索病毒影响,许多遭受攻击的电脑中的大部分文件被加密而被勒索要求支付比特币以进行解密文件。
1986 0
|
安全 Windows 域名解析
“双枪”狙击:首例连环感染MBR和VBR的顽固木马分析
本文讲的是“双枪”狙击:首例连环感染MBR和VBR的顽固木马分析,顽固性木马病毒有感染MBR(磁盘主引导记录)的,有感染VBR(卷引导记录)的,还有用驱动对抗安全软件的,最近则出现了一种连环感染MBR和VBR的新型木马,我们将其命名为“双枪”木马。
2119 0