others

了解 WannaCry 別讓”達人”給誤導了

※※實際救援WannaCry加密的檔案 成功案例※※
WannaCry防範方式很多人寫過了
我這邊就不再另外補充
但媒體口徑統一說被WannaCry加密後僅能重灌
這是錯誤的概念
————————————————————
12號當天我就將為變種的WannaCry病毒模型建立起來
我初步分析病毒行為
WannaCry將檔案複製一份加密後移除原始檔案。
只要硬碟還有剩餘空間,沒被嚴重複寫,基本上資料都可以救回來70~80%。
————————————————————
※第一步
當下朋友中標,打給我求救,我請他直接「斷電」
因為他的電腦是RAID10架構,無法拔硬碟出來解
所以我直接原機操作,使用WinPE開機
將病毒先移除刪除
(病毒路徑是隨機生成)
%ProgramData%\{random}
%ProgramData%\{random}\msg
%ProgramData%\{random}\TaskData
%ProgramData%\{random}\TaskData\Data
%ProgramData%\{random}\TaskData\Data\Tor
%ProgramData%\{random}\TaskData\Tor
%All User Profile%\{random}\msg
%All User Profile%\{random}\TaskData
%All User Profile%\{random}\TaskData\Data
%All User Profile%\{random}\TaskData\Data\Tor
%All User Profile%\{random}\TaskData\Tor
病毒名稱為
1.taskse.exe(加密程式)
2.taskdl.exe(刪除資源回收桶程式)
3.@WanaDecryptor@(解密程式)
※第二步
使用安全模式進入染毒作業系統
關閉全部服務與開機常駐
禁用系統還原
※第三步
使用 救回誤刪檔案的程式,我這次操作是用Recuva
安裝後開始撈資料, 能撈多少就撈多少嘍。
————————————————————
完成後我救回的檔案數量為 2.2TB/4TB
磁碟為 2T*2 RAID 10,硬碟使用率為43%
————————————————————
希望透過這個案例來幫各位救回寶貴的資料
如果不會操作的朋友,建議找訪間的資料救援公司
並表示這顆硬碟遭加密,請依造我上面的流程操作
救援公司幾乎都可以很完美的處理好
但能救多少就要看天了
————————————————————
希望各位能把這篇轉載出去,讓大家知道中WannaCry非無解
但換其他的加密病毒就不能保證可以用一樣的方式解決。
————————————————————
目前媒體與號稱3C達人關於病毒的消息
有很多都是錯誤的觀念,建議大家不要亂信
這次的解決方案其實很簡單
1.安裝Windows patch
2.如果沒用SMB功能直接關閉SMBv1(個人覺得很蠢)
3.直接建立一個病毒的關閉 Flag,這個需要一點技術所以不建議一般人用這方式MsWinZonesCacheCounterMutexA
4.WannaCry 有負面表列,其中有一個 \intel 也不會被加密
如果真的很重要的資料,可以搬到\Intel裡面,雖然很蠢但是有效xd
————————————————————
小小抱怨可以不用看
現在只要有點知名度都可以稱得上3C達人?
在發病前叫民眾不要更新,會出包後說誰叫你們不更新
只能重灌,沒有其解法。
身為「3C達人」,不經查證更新出包的原因、病毒行為與攻擊模式
一昧用刻板印象,灌輸錯誤觀念給使用者,很不負責任,非常不恥。

 

文章出處

延伸影片閱讀:  
Previous post

WannaCry勒索病毒製造者現身?!

Next post

顏質高!CORSAIR 推出 Dominator Platinum Special Edition Torque DDR4 記憶體

The Author

Kevin

Kevin

XFastest 專業打雜小弟,希望大家會喜歡我的文章。