※ 本文為 zbali.bbs. 轉寄自 ptt.cc 更新時間: 2017-05-13 16:30:13
看板 AntiVirus
作者 標題 [情報] wncry有救了?
時間 Sat May 13 11:58:01 2017
剛剛在一個電腦的社團看到有人po出WanaCrypt行為模式分析
直接複製內文貼上:
被WannyCry加密的用戶檔案救援可能性分析
---------------------------------------------------------------
剛剛針對WannyCry病毒的模型分析
他的行為模式是
1.複製檔案到快取(記憶體或虛擬記憶體)
2.加密
3.刪除舊檔案
4.放出加密過的檔案
-----------------------------
很關鍵的地方!!!
檔案被標示為刪除後,不會馬上被抹除/複寫
所以當機立斷要做的事情
1.關機
2.使用第三方開機(另一台電腦、PE開機等)
使用類似「 Recuva」這種撈出磁區內刪除檔案
3.開始救援,但能救多少不知道,看你的磁碟滿的狀態
如果很空 那就可以救回來很多,如果很滿,恭喜你會被複寫掉很多..
※※流程我講的很粗糙,如果不會用,可以試著GOOGLE
或請身邊懂電腦的工具人幫忙,別找我謝謝。
一樣要分享出去就分享,不用過問我了
晚上我在寫一篇綁架病毒與ACL權限概念給大家..如果我有空的話qq
截圖:http://imgur.com/ehX2T7z
![[圖]](http://i.imgur.com/ehX2T7z.png)
不知道可不可行
有中獎的人要試試看嗎?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 103.5.102.185
※ 文章代碼(AID): #1P5eHCQV (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494647884.A.69F.html
※ 編輯: narihira2000 (103.5.102.185), 05/13/2017 12:00:47
--
推 : 如果把資料夾禁止寫入會有用嗎 之前就設定過了 只有存1F 05/13 12:02
→ : 檔案才會改 存完會改回來
→ : 檔案才會改 存完會改回來
推 : 意思是看得懂 感覺理論上可以 但能救回來多少真的未知數3F 05/13 12:03
→ : 可以用救誤刪檔案的救援軟體來掃 但數量應該不會很多4F 05/13 12:05
推 : 以前的勒索病毒好像就有這樣救回過5F 05/13 12:05
推 : 推一下6F 05/13 12:07
推 : 我中伊莉那隻有靠救援軟體找回十幾G的檔案而已,不無小補7F 05/13 12:09
推 : 難8F 05/13 12:17
推 : 500G硬碟,使用了95%,等到被加密完畢,再用硬碟救援軟體9F 05/13 12:20
推 : 就跟救照片差不多啊 撈只刪除標頭 但實際未複寫的 理10F 05/13 12:20
→ : 論可行 但成效更差 因為這種一直蓋檔 不像古早只是純
→ : 刪
→ : 論可行 但成效更差 因為這種一直蓋檔 不像古早只是純
→ : 刪
→ : 也救不到多少檔案了 崩╰(〒皿〒)╯潰13F 05/13 12:22
→ : 把檔案都改成唯讀有用嗎14F 05/13 12:30
推 : 硬碟裝滿的很容易就被蓋過去了 撈也撈不到了15F 05/13 12:31
推 : 唯讀會有用 但還是要看加密軟體的權限16F 05/13 13:02
→ : 很久以前就就試過了,只花了一堆時間而已。17F 05/13 13:35
推 : 無聊去找源碼 看起來是直接加密的 複製一份太花時間了18F 05/13 13:35
→ : 就像加入壓縮檔那樣 直接修改原檔
→ : 就像加入壓縮檔那樣 直接修改原檔
推 : 剛試了一下,它刪除的那份資料也是破壞過的20F 05/13 14:21
→ : 用救援軟體去撈資料的是白做工了
→ : 用救援軟體去撈資料的是白做工了
--
回列表(←)
分享