5月12日，黑客驅(qū)動(dòng)WannaCry/Wcry蠕蟲病毒，向全球用戶發(fā)出“勒索”挑戰(zhàn)。一些從來(lái)不知道“打補(bǔ)丁”，不清楚什么是445端口的無(wú)辜群眾因此受難。隨后，網(wǎng)上流言四起，一種說(shuō)法是“數(shù)據(jù)可以自行解密”，另一種說(shuō)法是“數(shù)據(jù)可以通過(guò)軟件恢復(fù)”，為了查明真相，亞信安全技術(shù)支持中心通過(guò)逆向病毒行為分析，發(fā)現(xiàn)了數(shù)據(jù)恢復(fù)中的“重大秘密”!

其實(shí)，數(shù)據(jù)恢復(fù)不等于解密!

近期，網(wǎng)上流傳一些“解密方法”，甚至有人說(shuō)病毒作者良心發(fā)現(xiàn)，已經(jīng)公布了解密密鑰，通過(guò)驗(yàn)證，這些都是謠言。亞信安全建議廣大公眾，輕信謠言的結(jié)果，還可能面臨“二次中毒”的風(fēng)險(xiǎn)。

針對(duì)本次爆發(fā)的勒索蠕蟲WannaCry, 到目前為止還沒(méi)有公布私鑰，而從黑客采用的加密技術(shù)原理來(lái)講，除非拿到對(duì)稱密鑰，否則無(wú)法實(shí)現(xiàn)解密。亞信安全技術(shù)支持中心測(cè)試發(fā)現(xiàn)：目前，能減少客戶損失的方法只有通過(guò)數(shù)據(jù)恢復(fù)技術(shù)，而非解密技術(shù)來(lái)還原數(shù)據(jù)。

一、 WannaCry勒索蠕蟲的3種加密行為

這一次WannaCry病毒引發(fā)的全球勒索蠕蟲風(fēng)暴，不僅是全球首款通過(guò)系統(tǒng)漏洞實(shí)現(xiàn)傳播的勒索蠕蟲，更在加密手段上獨(dú)樹(shù)一幟。經(jīng)過(guò)亞信安全對(duì)已經(jīng)獲取到的病毒樣本的逆向行為分析后發(fā)現(xiàn)，編寫病毒的黑客，為了提高加密效率，WannaCry病毒有3種不同的加密行為。

第一種加密行為：桌面文件被“重寫”，數(shù)據(jù)不可恢復(fù)

亞信安全技術(shù)支持中心發(fā)現(xiàn)，WannaCry勒索病毒首先會(huì)選擇用戶的“桌面”進(jìn)行加密，同時(shí)使用垃圾數(shù)據(jù)填充原文件(文件經(jīng)過(guò)多次重寫)，然后刪除。黑客充分研究了普通用戶保存數(shù)據(jù)文件的行為，利用了大多數(shù)人將手頭重要文件保存在桌面的“壞習(xí)慣”。而在這種情況下，因?yàn)樵募呀?jīng)被覆蓋填充，所以這種方式處理過(guò)的文件是不可能被恢復(fù)的!

第二種加密行為：系統(tǒng)盤文件可部分恢復(fù)，“文件名”徹底丟失

針對(duì)系統(tǒng)盤(一般是C盤)， 勒索病毒在加密文件后， 會(huì)重命名原文件為數(shù)字.WNCRYT，如：1.WNCRYT、2.WNCRYT等，然后把這些文件移動(dòng)到“%TMP%目錄”下。這種方式處理過(guò)的文件，只能部分被恢復(fù)為*.WNCRYT文件。需要查看文件頭，確定文件類型后， 手動(dòng)修改為原始原件類型。例如1.WNCRYT修改為xxx.doc后可以恢復(fù)為原始的WORD文件。

第三種加密行為：其他盤符文件恢復(fù)可能性較大，概率由“磁盤剩余空間”決定

針對(duì)其他盤符(如D,E盤等)，勒索病毒在加密文件后，直接刪除原文件。這種方式處理過(guò)的文件是有可能被恢復(fù)的。至于能恢復(fù)多少，要取決于原文件所在的扇區(qū)是否被重寫或者覆蓋過(guò)。通過(guò)測(cè)試發(fā)現(xiàn)，當(dāng)一個(gè)盤符里面的數(shù)據(jù)量較少時(shí)(例如使用了30%)，幾乎能恢復(fù)所有數(shù)據(jù);當(dāng)一個(gè)盤符里面的數(shù)據(jù)量較大時(shí)(例如使用了90%)，只能恢復(fù)部分?jǐn)?shù)據(jù)，有一部分?jǐn)?shù)據(jù)丟失;當(dāng)磁盤空間已滿時(shí)，有的原始文件根本沒(méi)有被加密， 這種情況下，與普通數(shù)據(jù)恢復(fù)原理相同，大多數(shù)數(shù)據(jù)可以恢復(fù)。

二、3種加密行為下的數(shù)據(jù)恢復(fù)實(shí)驗(yàn)

為了證實(shí)以上3種行為與數(shù)據(jù)恢復(fù)之間的關(guān)聯(lián)性， 亞信安全技術(shù)支持中心分別進(jìn)行了相關(guān)實(shí)驗(yàn)。

實(shí)驗(yàn)一

使用病毒樣本感染測(cè)試機(jī)， 然后嘗試使用數(shù)據(jù)恢復(fù)軟件恢復(fù)桌面上的文件。測(cè)試步驟和結(jié)果如下：

• 病毒加密之后，桌面文件被加密。
• 嘗試數(shù)據(jù)恢復(fù)，可以發(fā)現(xiàn)所有C盤可恢復(fù)的用戶文件都在%TMP%下。
• 恢復(fù)之后發(fā)現(xiàn)，恢復(fù)的文件都是C盤其他目錄下的文件。 桌面文件無(wú)法恢復(fù)。

實(shí)驗(yàn)二

使用病毒樣本感染測(cè)試機(jī)， 然后嘗試使用數(shù)據(jù)恢復(fù)軟件恢復(fù)系統(tǒng)盤文件。測(cè)試步驟和結(jié)果如下：

1. 圖1所示，病毒在加密之后， 可以在%TMP%目錄下看到很多以WNCRYT為后綴的文件。

圖1：文件名后綴被修改為WNCRYT

2. 使用數(shù)據(jù)恢復(fù)軟件恢復(fù)出來(lái)的數(shù)據(jù)也是WNCRYT格式的文件?？梢允褂霉ぞ卟榭次募^信息。 圖2中可以看到8.WNCRYT文件的真實(shí)文件類型是docx文件。

圖2：WNCRYT文件的真實(shí)文件類型是docx文件

3. 可以直接重命名文件格式， 就可以恢復(fù)該文件。但是原始文件名是無(wú)法恢復(fù)的。

圖3：重命名文件格式可恢復(fù)文件

實(shí)驗(yàn)三

使用病毒樣本感染測(cè)試機(jī)， 然后嘗試使用數(shù)據(jù)恢復(fù)軟件恢復(fù)D盤和E盤文件。測(cè)試步驟和結(jié)果如下：

• 在磁盤有空余的情況下， 幾乎能100%恢復(fù)數(shù)據(jù)。
• 在磁盤滿的情況下， 只有部分文件被加密。很多原文件直接被保留在磁盤上。

三、正確選擇數(shù)據(jù)恢復(fù)順序

為了保證測(cè)試的準(zhǔn)確有效，亞信安全技術(shù)支持中心測(cè)試了兩個(gè)操作系統(tǒng)、若干病毒樣本，多種數(shù)據(jù)恢復(fù)軟件，測(cè)試結(jié)果一致。結(jié)論如下：

• 桌面文件無(wú)法恢復(fù)。
• 系統(tǒng)盤文件可部分恢復(fù)，但恢復(fù)難度較大。
• 其他盤符內(nèi)的文件容易被恢復(fù)，且被恢復(fù)的可能性較大。

WannaCry 勒索軟件是不法分子通過(guò)改造之前泄露的NSA黑客武器庫(kù)中“永恒之藍(lán)”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件，利用了微軟基于445 端口傳播擴(kuò)散的 SMB 漏洞MS17-010。在提醒用戶及時(shí)安裝相關(guān)補(bǔ)丁和網(wǎng)絡(luò)安全軟件、開(kāi)啟防火墻封堵網(wǎng)絡(luò)端口的同時(shí)，亞信安全經(jīng)過(guò)上述實(shí)驗(yàn)，建議受到WannaCry感染的客戶，請(qǐng)優(yōu)先恢復(fù)D，E等其他盤符內(nèi)的文件，對(duì)系統(tǒng)盤內(nèi)的文件用戶請(qǐng)選擇性恢復(fù)。