|
转自:盘石软件PANSAFE(ID:Pansafe) 从本月12号开始,一款名为WannaCry的蠕虫勒索病毒在全球范围内疯狂传播。我国的多个行业内网网络也被感染,政府、企业和高校成为主要侵袭目标。 很不幸,盘石软件的用户有被WannaCry蠕虫感染的案例;很幸运,用户拥有盘石软件的SafeAnalyzer产品。 【案例分享】 某用户在自己的电脑中发现了WannaCry蠕虫勒索软件界面,通过文件管理器发现部分重要文件已经被WannaCry加密。为了避免WannaCry加密更多的文件和附近网络主机的交叉感染,用户第一时间关闭电脑,切断网络。为了找回被感染的重要文件,用户把电脑硬盘拆下,用盘石SafeAnalyzer加载硬盘,通过文件特征恢复,恢复出了被感染的重要文件。 【WannaCry蠕虫勒索软件的文件处理方式介绍】 感染WannaCry蠕虫之后,WannaCry会逐步对部分类型文件加密,加密完成后删除原文件,以此方式勒索用户付款解密被WannaCry加密的文件。我们知道,找回原文件最理想方法是解密被加密的文件,可惜到目前为止,没有成功的解密方法。由于WannaCry把文件加密后删除原文件的做法,我们可以通过恢复删除文件的方式找回原文件。 WannaCry界面 【实战方法总结】 根据实战案例及实验推演,如果发现电脑被WannaCry蠕虫感染,正确步骤如下: 第一步:关机,断网 关机的目的是避免更多的文件被WannaCry加密,断网目的是为了避免附近网络主机感染WannaCry蠕虫。 第二步:离线制作镜像 利用盘石现场取证产品SafeImager离线启动电脑对硬盘进行镜像制作,用于文件恢复,此方法的优势是不拆机制作镜像。如用户不怕麻烦,愿意拆机,此步骤可以省略,之后直接加载硬盘,直接对硬盘进行文件的删除恢复操作。 SafeImager离线镜像 第三步:删除恢复 针对WannaCry蠕虫删除的原文件,SafeAnalyzer提供了3种效果比较好的文件恢复方法。 (1) 文件特征恢复 文件特征恢复,是依据文件的特征对文件进行恢复的方法,也是前文分享的实战案例中用户使用的恢复方法。 文件特征恢复出的结果 (2) 目录恢复 通过目录恢复,可以恢复出WannaCry删除的原文件。 (3) 卷快照分析 Windows系统自Win7开始,保护设置默认开启,系统会自动创建还原点,很多文件都会放入其中,利用SafeAnalyzer的卷快照分析,可以恢复出在创建还原点之前放到硬盘中的文件。 卷快照分析后过滤doc文档 关于卷快照分析功能,SafeAnalyzer在13年初就已经支持,是国内第一款支持卷快照分析的取证软件产品。可以很好的应用到本次WannaCry蠕虫事件中。十年磨砺,SA从不争头条;低调恢复,行不行只看成效。 |
|
|
