5月12日晚間,一款名為“永恒之藍”的惡意勒索軟件在全球肆虐,受害電腦被黑客“劫持”,大量文件被加密鎖定,并索要高額比特幣贖金。截至14日下午,該軟件已經在全球范圍內感染了包括美國、英國、中國、俄羅斯、西班牙、意大利、越南等100多個國家和地區超過數十萬臺電腦。各國政府和公共網絡系統,眾多學校、醫院、企業都受到侵害,我國許多高校校園網和多家能源企業、政府機構也中招,多地的出入境、派出所等公安網也疑似遭遇了病毒襲擊,對重要數據造成嚴重損失。
作為國內電子數據取證龍頭企業本地應用恢復到桌面,網絡空間安全專家,美亞柏科也在第一時間推出事前預警,還沒有中招的朋友請一定要看下方的防范步驟并轉發給身邊的人:。
其中在病毒爆發后,美亞柏科計算機取證研發團隊連夜根據該病毒的特性,進行了針對性的研究,14日下午研發取得重大【突破】。現美亞柏科【恢復大師】、【取證大師】特別版本推出,該版本支持對感染 病毒的計算機進行數據恢復,符合特定環境下的計算機可實現大部分甚至全部數據恢復。具體軟件情況請繼續往下看。
★ 加密過程研究
病毒爆發后,我們對其運行原理進行了一些研究,下面用虛擬機模擬一次系統被感染的過程。 新建一個虛擬機并拷貝進去若干文檔和病毒樣本。如下圖所示:
主動執行病毒樣本,此時觀察到測試文件所在的目錄下生成和原文件名字一致的WNCRY后綴的文件,且桌面背景被更改提示文字。如下圖所示:
隨著時間推移,可以看到系統中的原文件被刪除,只剩下加密后的文件,并彈出告知付贖金的界面。此時被病毒感染的文件已AES+RSA的加密算法進行加密,暴力破解難度非常大。
不過研究到此,病毒的運行原理就出來了,即讀取源文件到內存,完成加密,寫入硬盤刪除源文件,保留加密文件。注意:你的原始文件其實并沒有直接被加密,而是被黑客刪除了被加密的只是副本。
知道了病毒的運行原理,我們測試并成功實現了兩種方式對數據進行搶救。
★ 數據恢復方法
一、通過文件系統刪除恢復原理恢復
病毒刪除原文件與普通的文件刪除過程情形一致,可以通過文件系統的刪除恢復原理對數據嘗試恢復。 這也是目前國內有部分安全廠商提供的工具的運行方法。但是此方式的局限性在于必需確保原文件刪除后未被新的數據覆蓋,如果后續文件讀寫操作操作比較多,則可能造成數據恢復失敗。數據恢復可能性不穩定。
二、通過卷影副本數據進行恢復
在數據被覆蓋無法通過常規方式進行恢復的情況下,我們依然可以嘗試使用另一個方式——卷影副本服務。
卷影副本服務是系統默認開啟的文件備份服務。該服務在WXP/2003開始引入, 2003 /Vista 得到加強,并在 7/8/8.1/10所有版本默認開啟的,可以在一定條件下保存文件的歷史版本數據。
根據網上的資料,病毒在運行后除了加密特定類型文件,還會清除系統中的卷影副本數據。但通過我們研發人員的實際測試,在部分版本(主要是64位)的系統中,卷影副本并未被清除。如果被感染的計算機還存在卷影副本數據,通過一定的方式讀取并導出文件的歷史版本,即可“恢復”出相關數據,若計算機在被感染前一天有開機系統默認備份過,更有可能實現100%數據恢復。
★ 數據恢復操作
前面太多技術相關的,可能很多微友一頭霧水,操作復雜,這里美亞柏科研發人員根據研發所得的結果,第一時間開發了恢復大師、取證大師特別版本本地應用恢復到桌面,支持一鍵對感染 病毒的計算機實現上述兩種數據恢復方式。
操作前特別提醒:若計算機感染病毒請立即斷網,避免進一步傳播感染,建議在只讀環境下進行恢復。特別是美亞柏科的客戶,建議使用恢復大師和取證大師設備搭配本版本進行恢復,個人電腦請在感染后下載可用的安全軟件進行系統漏洞修復,及清除電腦中全部木馬程序,防止勒索病毒反復感染。
下面以恢復大師為例介紹具體的操作步驟。
【1】打開恢復大師,選擇“計算機恢復”功能,如下圖:
【2】數據源類型選擇“鏡像”,如下圖:
【3】點擊“添加鏡像”選擇磁盤鏡像文件(本例中為上述實驗的虛擬機鏡像),如下圖:
【4】選擇完成后,點擊快速恢復,稍等片刻恢復完成后在左側恢復結果樹中的“辦公文檔”→“Word文檔”節點即可找到恢復成功的“美亞柏科簡介.doc”文檔,且可正常預覽和導出,如下圖所示: