其他

了解 WannaCry 別讓”達人”給誤導了

※※實際救援WannaCry加密的檔案 成功案例※※
WannaCry防範方式很多人寫過了
我這邊就不再另外補充
但媒體口徑統一說被WannaCry加密後僅能重灌
這是錯誤的概念
————————————————————
12號當天我就將為變種的WannaCry病毒模型建立起來
我初步分析病毒行為
WannaCry將檔案複製一份加密後移除原始檔案。
只要硬碟還有剩餘空間,沒被嚴重複寫,基本上資料都可以救回來70~80%。
————————————————————
※第一步
當下朋友中標,打給我求救,我請他直接「斷電」
因為他的電腦是RAID10架構,無法拔硬碟出來解
所以我直接原機操作,使用WinPE開機
將病毒先移除刪除
(病毒路徑是隨機生成)
%ProgramData%\{random}
%ProgramData%\{random}\msg
%ProgramData%\{random}\TaskData
%ProgramData%\{random}\TaskData\Data
%ProgramData%\{random}\TaskData\Data\Tor
%ProgramData%\{random}\TaskData\Tor
%All User Profile%\{random}\msg
%All User Profile%\{random}\TaskData
%All User Profile%\{random}\TaskData\Data
%All User Profile%\{random}\TaskData\Data\Tor
%All User Profile%\{random}\TaskData\Tor
病毒名稱為
1.taskse.exe(加密程式)
2.taskdl.exe(刪除資源回收桶程式)
3.@WanaDecryptor@(解密程式)
※第二步
使用安全模式進入染毒作業系統
關閉全部服務與開機常駐
禁用系統還原
※第三步
使用 救回誤刪檔案的程式,我這次操作是用Recuva
安裝後開始撈資料, 能撈多少就撈多少嘍。
————————————————————
完成後我救回的檔案數量為 2.2TB/4TB
磁碟為 2T*2 RAID 10,硬碟使用率為43%
————————————————————
希望透過這個案例來幫各位救回寶貴的資料
如果不會操作的朋友,建議找訪間的資料救援公司
並表示這顆硬碟遭加密,請依造我上面的流程操作
救援公司幾乎都可以很完美的處理好
但能救多少就要看天了
————————————————————
希望各位能把這篇轉載出去,讓大家知道中WannaCry非無解
但換其他的加密病毒就不能保證可以用一樣的方式解決。
————————————————————
目前媒體與號稱3C達人關於病毒的消息
有很多都是錯誤的觀念,建議大家不要亂信
這次的解決方案其實很簡單
1.安裝Windows patch
2.如果沒用SMB功能直接關閉SMBv1(個人覺得很蠢)
3.直接建立一個病毒的關閉 Flag,這個需要一點技術所以不建議一般人用這方式MsWinZonesCacheCounterMutexA
4.WannaCry 有負面表列,其中有一個 \intel 也不會被加密
如果真的很重要的資料,可以搬到\Intel裡面,雖然很蠢但是有效xd
————————————————————
小小抱怨可以不用看
現在只要有點知名度都可以稱得上3C達人?
在發病前叫民眾不要更新,會出包後說誰叫你們不更新
只能重灌,沒有其解法。
身為「3C達人」,不經查證更新出包的原因、病毒行為與攻擊模式
一昧用刻板印象,灌輸錯誤觀念給使用者,很不負責任,非常不恥。

 

文章出處

臉書留言 Comments

臉書留言 Comments

Previous post

WannaCry勒索病毒製造者現身?!

Next post

顏質高!CORSAIR 推出 Dominator Platinum Special Edition Torque DDR4 記憶體

The Author

Kevin

Kevin

XFastest 專業打雜小弟,希望大家會喜歡我的文章。