如何解密被wannacry軟體加密的文件？

01-02

瀉藥……

簡單說吧：直接對抗aes加密的話……大概量子計算機出現後有點可能；或者……再等個幾十年到幾百年，看看電子計算機的計算能力能不能有什麼大的突破吧。到時候可能跑個三兩天甚至幾小時就破了……

不和aes對抗的話，那麼就剩下這麼幾條路了：

1、出錢購買，或者等執法機關找到病毒作者的伺服器，看看能不能找到解密密鑰

這個辦法相對比較靠譜；但根據目前掌握的信息，此病毒會嘗試連接tor網路，但tor節點列表卻為空。

那麼至少在中國，它是不可能聯網成功的。

此外，按目前掌握的信息來看，此病毒使用了rsa演算法，但並不清楚他是如何處理aes密鑰的——如果是標準的公鑰加密私鑰解開的話，加密的密鑰可能在受害者硬碟某處：然而還是那句話，攻擊者當然不會把自己的私鑰給你；網上給你解鎖的話……病毒連不上tor。

綜上，至少在中國，出錢購買幾乎肯定是白費錢。所以只能寄希望於病毒在本地保存了加過密的密碼（而不是把密碼上傳到發布者在tor上的伺服器、卻因連不上網而遺失）、並且執法機關能搞到病毒作者的私鑰了。

2、寄希望於這個病毒作者夠蠢

比如，他其實是把密碼明文保存在硬碟隱藏扇區里……這樣一旦病毒被徹底剖析清楚，難題自然迎刃而解。可想而知，這個可能極小，小到近乎不存在。

再比如，他的aes密鑰生成演算法比較初級，沒有用加密級的隨機函數；那麼根據中毒時間等信息，還是有可能縮小密鑰的可能範圍的。如此一來，暴力破解就有了可能（然後可能會有一個解密程序放出來，跑上幾十分鐘乃至若干小時，就可以解開了：換句話說，攻擊AES沒人能做到，但攻擊生成AES密碼的渣演算法並不特別困難）。

不過，如果病毒作者有點很初級的加解密常識……那麼他就可能調用加密級的隨機函數（操作系統提供有現成介面），這個薄弱點就不存在了。

從報告說病毒破壞時、那個用於關閉卷影複製/系統還原的bat會觸發UAC看，這個傢伙技術上可能並不特別精通、或者做事有點粗枝大葉。所以，這個薄弱點還是有一定的存在可能的。

總之，有些許希望，但極其渺茫……

補充：有點當時沒想到，樓下有人先提出來了。就是可以利用數據恢復軟體恢復。

這是因為，文件被刪除實際上只是打了個標記，如果沒有被新數據覆蓋的話，它就是可以恢復的——把刪除標記去掉就是了。

甚至，被部分覆蓋都沒關係，數據恢復工具可以找到磁碟上「丟失的鏈/簇」，這裡面就可能包含部分數據——完整恢復很難，但找回來一部分還是可以做到的。

尤其如ssd硬碟，演算法上是刻意把寫平均分配到整個硬碟上的。換句話說，除非寫了足以填滿整個硬碟空閑空間的數據，否則數據總是能找回來的。

更專業的設備甚至可以找回被覆蓋過的數據。所以專業的文件粉碎軟體會在刪除一個文件時，把它所在的位置覆蓋7遍（但對ssd以及較新的硬碟並不適用）。

要點是，在數據恢復出來之前，保管好你的硬碟，不要往裡寫哪怕一個位元組。這都會降低找回數據的幾率。

至於如何恢復……你可以上網搜索data recovery，大量的免費軟體。基本是傻瓜式操作界面：點分析，然後曾經被刪的東西就出來了（但可能支離破碎，而且是未知格式；你可以強制用記事本或更專業的十六進位文本編輯器打開，看看裡面是否包含重要內容）。

切記，數據恢復出來之前，一個位元組都不要往那個硬碟里寫。你可以把它掛別人電腦上（或者乾脆另買個硬碟），把恢復出來的數據存u盤裡（別運行你自己硬碟里的任何程序，不然別人揍你可不關我的事）。

我一黑客朋友表示是目前比較靠譜的辦法，用數據恢復軟體掃描扇區，不要忘記各國保密單位銷毀磁碟都用超強磁鐵和物理粉碎的。說明，就算覆蓋過一次文件，以前的原始文件還是能找回來的，要不然各國不會費這麼大事去處理廢棄磁碟

靠譜並不代表能恢複數據，只能作為一種嘗試，只不過目前相對其他嘗試成功得到數據的概率更高。（解密成功另一回事）

高票回答評論區表示，那位黑客比較智障，加密完數據之後把源文件刪了沒有在原扇區刪除寫入七次以上，數據恢復軟體能找回來，當然我猜如果硬碟使用空間超過一半會有部分文件丟失

遲到N久的更新：

目前已經有希望解鎖整台電腦的文件了！

請先斷網（拔掉網線、禁用無線網卡，防止重複感染，也是防止病毒擴散）；

暫時不要殺毒，不要使用360的恢復工具，也不要關機、重啟。

我不是說你不該殺毒、嘗試數據恢復，請你把這兩步操作放在後面。

先嘗試使用WanaKiwi。請看WanaKiwi作者發布的博文：

https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d

如果你用的是Github上的原版WanaKiwi，請用命令行參數指定tasksche.exe的PID（請用任務管理器勾選「選擇列」中的「PID」）。

這個工具在32位Windows XP和Windows 7上成功率較高，但64位系統上似乎很難有希望恢復。

WanaKiwi的原理是在病毒進程的內存中搜索當初用來生成本機RSA密鑰對的質數——這需要執行加密的進程tasksche.exe保持運行，從沒被結束過——如果你殺毒/關機/重啟了，或者用過360的恢復工具2.0，那這個進程就消失了，WanaKiwi便無法正常工作。同時，恢復成功還需要運氣，如果運氣不錯，本機的所有文件都能解密；運氣不好的話，很抱歉，一個文件也無法解密。

但是，你還可以嘗試數據恢復這條路——你可以參考下面的原答案。

同時，你可以期待勒索作者被捕後公開私鑰（雖然希望渺茫）。請在備份被加密的文件（後綴.WNCRY）時，一定不要落下00000000.eky文件！它是被勒索作者的RSA公鑰加密過的本機RSA私鑰——一句話，它就是這台中招電腦上所有被鎖文件的鑰匙，只要勒索作者被捕，用它就可以解鎖本機的所有文件；如果00000000.eky丟失了，即使勒索作者公布私鑰，你也無法解鎖被加密過的文件。

最後，吃一塹長一智，請打好補丁、正確設置防火牆、安裝靠譜殺軟，放棄使用WinXP。

原答案：

目前想繞過黑客解密文件是不可能的，但繞過解密，恢復被刪的未加密文件是可行的，只是很考驗人品而已。強烈建議離線操作，也就是啟動WinPE，或者把硬碟掛到別的電腦上再嘗試恢復操作。

【權威報告】WanaCrypt0r想哭勒索蠕蟲數據恢復可行性分析報告 - 安全客 - 有思想的安全新媒體

以下段落copy自360追日團隊原文，加粗是我加的：

WannaCry蠕蟲的大規模爆發得益於其利用了MS-17-010漏洞，使得其在傳統的勒索病毒的基礎上具備了自我複製、主動傳播的特性。在除去攻擊荷載的情況下，勒索病毒最重要的是其勒索技術框架。勒索文件加密技術是使用非對稱加密演算法RSA-2048加密AES密鑰，然後每個文件使用一個隨機AES-128對稱加密演算法加密，在沒有私鑰和密鑰的前提下要窮盡或破解RSA-2048和AES-128加密演算法，按目前的計算能力和技術是不可破解的。但是作者在處理文件加密過程中的一些疏漏，大大增加了我們恢復文件的可能性，如果第一時間及時搶救，用戶是能夠恢復大部分數據的。

另外由於勒索贖金交付技術是使用的比特幣，比特幣具有匿名性，比特幣地址的生成無需實名認證，通過地址不能對應出真實身份，比特幣地址的同一擁有者的不同賬號之間也沒有關聯。所以基於加密演算法的不可破解特性和比特幣的匿名特性，勒索病毒這類趨利明顯的惡意攻擊仍然會長時間流行，大家仍需要提高警惕。

先嘗試以恢復刪除方式恢復文件，可能性不大。

交錢，完了之後開代理聯繫黑客解密，這是可能性最大的了。

除此之外不可能了，只能期待著黑客良心發現，或者半年的活動了（滑稽

蠕蟲WannaCry病毒只是勒索軟體猖獗的開始？

微軟對漏洞埠的處理

除了安全更新，微軟3月份的時候沒有識別針對SMBv1漏洞的緩解因素，微軟批評美國政府沒有通知這個漏洞。

隨著事件的擴大，微軟近期則分析了黑客界臭名昭著的 Shadow Brokers（黑客組織號影子經紀人）流出的據稱率屬於NSA（美國國家安全局）下黑客組織Equation（代號方程式）開發的漏洞工具針對的Windows系統的漏洞，工程師們已經對披露的漏洞進行了調查，大部分漏洞截至14號已經被修補了。

NSA黑客武器庫中攻擊程序列表：

微軟在3月14號對SMB漏洞發布了伺服器安全更新告示MS17-010顯示，更新的程序修正了伺服器消息塊（SMB）對特別請求的處理方式，微軟把3月14號的安全公告的重要指數定為Critical（重要）。

WannaCry變種

之前的病毒阻止域名已經被網路安全研究員MalwareTech搶注，WannaCry病毒製作者花費了2天時間發布變種不包含關閉開關的蠕蟲病毒。

網路安全研究員發現，二次病毒感染的電腦50%+位於俄羅斯。

WannaCry二次病毒由兩部份構成：勒索軟體病毒、SMB蠕蟲病毒。

此次WannaCrypt病毒引發了其他勒索軟體模仿WannaCrypt病毒的界面：

另外，61款測試的殺毒工具中有部分殺毒軟體對WannaCry.EXE病毒程序放行：

截至今天中午，240+勒索筆交易達成。

比特幣今天的成交價：

一般勒索軟體的工作原理

傳播病毒的手段：

病毒作者可能利用各種把戲來說服你下載他們的文件，平時不要隨便接觸不良網站的文件，接收到不明郵件和附件不要隨便點開下載（這類郵件包含不限於各種通過稅收通知形式、不明罰款賬單形式的郵件、不明網路掙錢渠道的郵件）。

WannaCrypt病毒利用RSA+AES加密演算法加密計算機上的各類文件（RSA加密演算法是一種非對稱加密演算法，美國聯邦政府採用的一種區塊加密標準。1977年由羅納德·李維斯特（Ron Rivest）、阿迪·薩莫爾（Adi Shamir）和倫納德·阿德曼（Leonard Adleman）一起提出的）。

一般勒索軟體的工作原理圖

WannaCry病毒的應對措施

此次病毒主要針對的windows版本：Windows XP,Windows 8, Windows Server2003，Windows Server 2008，Windows 8.1等舊版win系統。

①打補丁

Windows 8安全更新程序

Windows 7 64位系統安全更新程序

②關閉SMBv1（非必須），涉及的計算機埠：135、137、445端：

③利用datarecover、Active等數據恢復工具，數據恢復工具理論上只要原盤位沒有被新數據覆蓋，就有恢復的可能，個人使用過的數據工具有

蠕蟲WannaCry病毒只是勒索軟體猖獗的開始？ - 知乎專欄

基於以下背景和假設：

1.中病毒之後系統能夠啟動

2.中病毒之後病毒會持續加密新增文件

3.中病毒之後被加密的文件確實能夠被黑客通過遠程傳輸秘鑰解密

如果上述前提成立，那麼：

可以設計一個程序：在windows啟動的時候啟動（避免被wannacry幹掉），啟動後自動生成一個文件A（內容已知）。監控文件A的讀寫操作，如被WannaCry加密，則應能夠找到秘鑰（可能是過程秘鑰、過程秘鑰的過程秘鑰、或者依據文件名分散的秘鑰，需要分析代碼，但是一定能夠找到中毒機器上的「根「秘鑰）。

找到秘鑰=解決問題。

歡迎大家討論這樣是否能夠解決WannaCry類似的病毒？ - 知乎

文件恢復軟體可以恢復大部分，如果沒有大量重寫覆蓋的話

現在成本最低的方法是抓住罪犯，人肉解碼。

看運氣試幾個能找到的密鑰，走運的話可以解。

找不到就別想了，現有的計算能力無解的。