WannaCry感染文件恢复方法_企业再也不用愁了!

最新推荐文章于 2023-01-14 21:55:51 发布
最新推荐文章于 2023-01-14 21:55:51 发布
阅读量772 收藏
点赞数
文章标签: 区块链 系统安全 php
原文链接:https://my.oschina.net/u/3154814/blog/919359
版权

原文链接

 

WannaCry勒索软件感染了全球超过30万台计算机,不少朋友周一上班时发现自己的电脑已经感染了WannaCry。虽然现在病毒已经得到控制,但是已经感染的电脑文件要如何恢复?

深入分析WannaCry代码后,我们发现代码中充满了错误,受害者能够利用一些简单命令就恢复文件,企业再也不用愁了!

WannaCry感染文件恢复方法,企业再也不用愁了!

恢复只读文件

由于恶意软件不可能直接加密或修改只读文件,WannaCry会复制这些文件并创建加密版本。虽然原始文件并没有动,但被赋予一个”hidden”属性,要恢复原始数据仅需受害者恢复其正常属性即可。

这并非WannaCry源代码中的唯一错误,在某些情况下,它在加密后并未删除文件。

 

从系统盘(C盘)中恢复文件

 

研究人员表示,存储在重要文件夹中的文件如桌面或文档文件夹在没有解密密钥的情况下无法被恢复,因为WannaCry旨在在恢复原始文件前用随机数据覆写原始文件。

然而,研究人员注意到存储在系统盘重要文件夹之外的其它文件能通过使用数据恢复软件从临时文件夹中恢复。研究人员指出,“原始文件会被迁移到%TEMP%\%d.WNCRYT(%d指的是数值)。这些文件包含原始数据且并未被覆写”。

 

从非系统盘中恢复文件

对于非系统盘来说,WannaCry勒索软件创建了一个隐藏的’$RECYCLE’文件夹并将原始文件加密后迁移到这个目录下。只要将这个文件夹显示隐藏就能恢复文件。

另外,由于WannaCry代码中存在“同步错误”,在很多情况下,原始文件还位于相同的目录下,这样受害者就能通过可用的数据恢复软件恢复被不安全删除的文件。

 

避免网站因中毒遭受损失

网站问题排查

站点故障排查是解决网站不能正常浏览,清理木马病毒,配置错误排查这些棘手问题。

¥1000/次

立即购买

系统安全优化 | 清除木马病毒

服务器成为肉鸡,向外DDOS攻击,清除木马,比特币挖矿病毒,系统加固,网站论坛漏洞修复,webshell攻击,discuz漏洞修复,wordpress漏洞修复,流量攻击,防CC攻击,网站安全检测

¥800/次

立即购买

 

安全资讯和技术尽在云市场头条安全动态:https://yq.aliyun.com/teams/61/type_blog-cid_158

更多安全工具和服务,进入云市场安全频道:https://market.aliyun.com/security

 

原文链接

转载于:https://my.oschina.net/u/3154814/blog/919359

chengli1824
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WannaCry感染文件恢复方法企业再也不用了!
weixin_33759269的博客
06-08 264
WannaCry勒索软件感染了全球超过30万台计算机,不少朋友周一上班时发现自己的电脑已经感染WannaCry。虽然现在病毒已经得到控制,但是已经感染的电脑文件要如何恢复? 深入分析WannaCry代码后,我们发现代码中充满了错误,受害者能够利用一些简单命令就恢复文件企业再也不用了! 恢复只读文件 由于恶意软件不可能直接加密或修改只读文...
Wannacry勒索病毒分析
热门推荐
qq_31507523的博客
06-17 1万+
Wannacry病毒分析 在15pb刚毕业,准备找活了,之前有幸听过奇安信的招聘会,大佬说,永恒之蓝病毒现在还在某些地方流行着,是经典的勒索病毒。这让我觉得分析这个病毒是刷经验的好机会,所以就在决定分析一下这个在2017年的纵横江湖无敌手的勒索之王,由于是新手入坑,不对之处还请多多指教(●ˇ∀ˇ●) 分析平台:win7虚拟机 分析工具:OD、IDA 辅助工具:LordPE、PEID、010Edi...
WNcry@2o17
iextract的博客
05-19 624
本次勒索事件爆发后,最近有了时间,对其实现很是好奇,所以从看雪下载了一个样本想要看看,可是中途却是栽了跟头,分析之前想看看行为,结果忘了关闭共享文件夹,结果共享文件夹遭殃了,实在后悔。 分析得慢,一个个函数往下看来着,会慢慢更新的,欢迎有不同想法的朋友私信交流~ IDB文件下载地址2017.05.19—-第一次上传idb文件
关于ONION/Wncry勒索病毒
weixin_33734785的博客
05-17 335
1.通告 2017年5月12日起,在国内外网络中发现爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。 目前发现的蠕虫会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入执行勒索程序、远程控制木马、虚拟货币挖矿机等恶意程序。 此蠕虫...
中了勒索病毒怎么办|文件解密|文件恢复
QQ2119459337的博客
12-03 1万+
中了勒索病毒怎么办,整理解决办法。2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件
WannaCry一周年_勒索软件威胁形势分析报告.pdf
08-08
六、 勒索软件感染操作系统分布 第二章 WANNACRY 攻击分析 一、 勒索蠕虫的空前影响 二、 WANNACRY 穿透内网原因 三、 其他暴露出来的问题简析 第三章 勒索软件的攻击特点 一、 无 C2 服务器加密技术流行 二、 攻击...
WannaCry样本,仅供学习使用!
10-14
wannacry样本,亲测可用。请在虚拟机并且断网环境中测试。仅供学习使用!
cpp-wanakiwi这个工具能够恢复WannaCryransomware感染文件
08-16
Wanakiwi 主要设计用于帮助受害者恢复那些被臭名昭著的WannaCry勒索软件感染文件WannaCry,全称为“WannaCrypt”,是一款全球性的蠕虫式勒索软件,于2017年爆发,严重影响了全球范围内的计算机系统,特别是利用...
基于C#编写的WannaCry模拟病毒项目源码+使用教程(课程大作业).zip
最新发布
12-29
一个C#控制台程序,用于批量恢复Wannacry.exe “加密”的文件,源码在Anti_WannaCry文件夹下 使用方法: 将Anti_WannaCry.exe放置于需要恢复的目录下双击运行即可,只能恢复当前目录下的文件
企业内网安全防范WannaCry及NSA武器库指南
05-15
今日(2017-05-15),360官方紧急发布了一个企业内网安全防范WannaCry及NSA武器库指南,赶紧对照指南进行内网安全防护吧!!
病毒分析--WannaCry分析--1
cyynid的博客
01-14 2548
分析监控的日志以及自行观察操作之后,可以分析出样本的恶意行为:自我复制样本到C盘:C:\ProgramData目录下,启动C:\ProgramData\@WanaDecryptor@.exe(即病毒程序)释放了并运行了taskeche.exe程序3.在程序目录下创建@Please_Read_Me@.txt、@WanaDecryptor@.exe以及.WNCRY文件4.在C:\ProgramData目录下创建xxx文件夹(文件名随机)5。
为什么Wannacry 勒索病毒加密的部分数据能恢复
liuyukuan的专栏
05-15 1840
电脑问题网-安全评测 为什么Wannacry 勒索病毒加密的部分数据能恢复?   答:“Wannacry”蠕虫加密破坏机理如下:首先读取原始文件,进行加密操作,生成新的加密后的文件。此时,原始文件与加密后的文件共同存在(如图红色部分)。 Wannacry 勒索病毒原始文件与加密后的文件共同存在   此后蠕虫将未加密的原始文件移动到%Temp%目录下,并把文件名改为一个顺序
Wannacry 勒索病毒有预设的解密口令“WNcry@2ol7”么?
liuyukuan的专栏
05-15 4474
电脑问题网-安全评测 “Wannacry"有预设的解密口令“WNcry@2ol7”么?   答:魔窟蠕虫中确实有这样一个口令设置,但并不是用来加密用户文件的。他是WannaCry勒索软件中内置ZIP资源数据包的解压口令,样本运行时会使用“WNcry@2ol7”作为解压密码,解压样本自身的资源数据并释放到当前路径,这些数据为勒索信息、勒索背景桌面、勒索窗体、语言配置、加密的DLL和Ke
WannaCry(勒索程序、惡意程序、文件加密)攻略
weixin_33827590的博客
09-25 548
同步本文的地方:http://blog.sina.com.cn/ianxet WannaCry,之前施虐全球多個地方,造成巨大損失,現在的變種更是複雜。所以我們需要做好防範的工作,因為有網友中了惡意程序之後,所以寫個文章。 中毒可能是這樣子的,估計是變種 Dragon 4444 提供解決思路: 1、中毒之後,機器需要第一時間拔掉網線2、盡可能的找到散播的計算機,因為有可能潛伏在局域網3、如果有備份...
最新勒索软件WannaCrypt病毒感染前后应对措施
wodafa的博客
05-17 7388
这波勒索病毒使用的是今年3月爆发的NSA暴露的那些漏洞利用工具,当时出来以后,如果及时对系统更新了漏洞补丁和加固后,系统基本不会被感染
WannaCry勒索病毒事件的“来龙去脉”
weixin_33724046的博客
05-18 849
WannaCry勒索病毒事件的“来龙去脉” Jackzhai 一、背景:   2017年5月12日是个平静的日子,大家都高高兴兴地收拾回家度周末了。然而,从下午开始,网络安全公司就不断接到用户求救电话,越来越多的用户遭受计算机病毒袭击,电脑被加密锁闭……周末的深夜,公司的灯被陆续点亮,售后工程师被召回,研发经理被召回,测试人员被召回,售前工程师被召回,销售也被召回…一场大规模、全球性的计算机病毒事...
想哭(WannaCry)勒索病毒中招后,该怎么恢复数据?(非解密)
weixin_34409741的博客
09-19 698
本文讲的是想哭(WannaCry)勒索病毒中招后,该怎么恢复数据?(非解密), 一、前言 受WannaCry勒索病毒影响,许多遭受攻击的电脑中的大部分文件被加密而被勒索要求支付比特币以进行解密文件。当前没有完美的解密工具或者方案,但根据对病毒的分析,我们发现病毒采用加密原文件后再删除原文件的方式,于是针对被删除的文件就存在一定恢复的可能性,我们只要恢复...
WannaCry
swordheart的博客
01-23 2049
WannaCry 1、原理说明 1、病毒概述 又名Wanna Decryptor,它是蠕虫式病毒,它是通过MS17-010漏洞在全球范围内爆发,并短时间内感染大量的主机;该蠕虫感染了主机后,会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支持价值相当于300美元(约合2069人民币)的比特币才可以解锁;目前已经波及99个国家。 该病毒通过KillSwitch域名开关进行控制,当病毒可以正常访问该域名(www.iuqerfsodp9ifjaposdfjhgosur
wannacry勒索加密原理
08-29
Wannacry勒索软件是一种使用加密原理的恶意软件,它通过感染目标计算机,将用户的文件加密,并要求用户支付赎金以解密文件Wannacry利用了一个名为EternalBlue的漏洞进行传播,这是一种影响Windows操作系统的漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值