如何解密被wannacry軟體加密的文件?
瀉藥……
簡單說吧:直接對抗aes加密的話……大概量子計算機出現後有點可能;或者……再等個幾十年到幾百年,看看電子計算機的計算能力能不能有什麼大的突破吧。到時候可能跑個三兩天甚至幾小時就破了……
不和aes對抗的話,那麼就剩下這麼幾條路了:
1、出錢購買,或者等執法機關找到病毒作者的伺服器,看看能不能找到解密密鑰
這個辦法相對比較靠譜;但根據目前掌握的信息,此病毒會嘗試連接tor網路,但tor節點列表卻為空。
那麼至少在中國,它是不可能聯網成功的。
此外,按目前掌握的信息來看,此病毒使用了rsa演算法,但並不清楚他是如何處理aes密鑰的——如果是標準的公鑰加密私鑰解開的話,加密的密鑰可能在受害者硬碟某處:然而還是那句話,攻擊者當然不會把自己的私鑰給你;網上給你解鎖的話……病毒連不上tor。
綜上,至少在中國,出錢購買幾乎肯定是白費錢。所以只能寄希望於病毒在本地保存了加過密的密碼(而不是把密碼上傳到發布者在tor上的伺服器、卻因連不上網而遺失)、並且執法機關能搞到病毒作者的私鑰了。
2、寄希望於這個病毒作者夠蠢
比如,他其實是把密碼明文保存在硬碟隱藏扇區里……這樣一旦病毒被徹底剖析清楚,難題自然迎刃而解。可想而知,這個可能極小,小到近乎不存在。
再比如,他的aes密鑰生成演算法比較初級,沒有用加密級的隨機函數;那麼根據中毒時間等信息,還是有可能縮小密鑰的可能範圍的。如此一來,暴力破解就有了可能(然後可能會有一個解密程序放出來,跑上幾十分鐘乃至若干小時,就可以解開了:換句話說,攻擊AES沒人能做到,但攻擊生成AES密碼的渣演算法並不特別困難)。
不過,如果病毒作者有點很初級的加解密常識……那麼他就可能調用加密級的隨機函數(操作系統提供有現成介面),這個薄弱點就不存在了。
從報告說病毒破壞時、那個用於關閉卷影複製/系統還原的bat會觸發UAC看,這個傢伙技術上可能並不特別精通、或者做事有點粗枝大葉。所以,這個薄弱點還是有一定的存在可能的。
總之,有些許希望,但極其渺茫……
補充:有點當時沒想到,樓下有人先提出來了。就是可以利用數據恢復軟體恢復。
這是因為,文件被刪除實際上只是打了個標記,如果沒有被新數據覆蓋的話,它就是可以恢復的——把刪除標記去掉就是了。
甚至,被部分覆蓋都沒關係,數據恢復工具可以找到磁碟上「丟失的鏈/簇」,這裡面就可能包含部分數據——完整恢復很難,但找回來一部分還是可以做到的。
尤其如ssd硬碟,演算法上是刻意把寫平均分配到整個硬碟上的。換句話說,除非寫了足以填滿整個硬碟空閑空間的數據,否則數據總是能找回來的。
更專業的設備甚至可以找回被覆蓋過的數據。所以專業的文件粉碎軟體會在刪除一個文件時,把它所在的位置覆蓋7遍(但對ssd以及較新的硬碟並不適用)。
要點是,在數據恢復出來之前,保管好你的硬碟,不要往裡寫哪怕一個位元組。這都會降低找回數據的幾率。
至於如何恢復……你可以上網搜索data recovery,大量的免費軟體。基本是傻瓜式操作界面:點分析,然後曾經被刪的東西就出來了(但可能支離破碎,而且是未知格式;你可以強制用記事本或更專業的十六進位文本編輯器打開,看看裡面是否包含重要內容)。
切記,數據恢復出來之前,一個位元組都不要往那個硬碟里寫。你可以把它掛別人電腦上(或者乾脆另買個硬碟),把恢復出來的數據存u盤裡(別運行你自己硬碟里的任何程序,不然別人揍你可不關我的事)。
我一黑客朋友表示是目前比較靠譜的辦法,用數據恢復軟體掃描扇區,不要忘記各國保密單位銷毀磁碟都用超強磁鐵和物理粉碎的。說明,就算覆蓋過一次文件,以前的原始文件還是能找回來的,要不然各國不會費這麼大事去處理廢棄磁碟
靠譜並不代表能恢複數據,只能作為一種嘗試,只不過目前相對其他嘗試成功得到數據的概率更高。(解密成功另一回事)
高票回答評論區表示,那位黑客比較智障,加密完數據之後把源文件刪了沒有在原扇區刪除寫入七次以上,數據恢復軟體能找回來,當然我猜如果硬碟使用空間超過一半會有部分文件丟失
遲到N久的更新:
目前已經有希望解鎖整台電腦的文件了!
請先斷網(拔掉網線、禁用無線網卡,防止重複感染,也是防止病毒擴散);
暫時不要殺毒,不要使用360的恢復工具,也不要關機、重啟。
我不是說你不該殺毒、嘗試數據恢復,請你把這兩步操作放在後面。
先嘗試使用WanaKiwi。請看WanaKiwi作者發布的博文:
https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d
如果你用的是Github上的原版WanaKiwi,請用命令行參數指定tasksche.exe的PID(請用任務管理器勾選「選擇列」中的「PID」)。
這個工具在32位Windows XP和Windows 7上成功率較高,但64位系統上似乎很難有希望恢復。
WanaKiwi的原理是在病毒進程的內存中搜索當初用來生成本機RSA密鑰對的質數——這需要執行加密的進程tasksche.exe保持運行,從沒被結束過——如果你殺毒/關機/重啟了,或者用過360的恢復工具2.0,那這個進程就消失了,WanaKiwi便無法正常工作。同時,恢復成功還需要運氣,如果運氣不錯,本機的所有文件都能解密;運氣不好的話,很抱歉,一個文件也無法解密。
但是,你還可以嘗試數據恢復這條路——你可以參考下面的原答案。
同時,你可以期待勒索作者被捕後公開私鑰(雖然希望渺茫)。請在備份被加密的文件(後綴.WNCRY)時,一定不要落下00000000.eky文件!它是被勒索作者的RSA公鑰加密過的本機RSA私鑰——一句話,它就是這台中招電腦上所有被鎖文件的鑰匙,只要勒索作者被捕,用它就可以解鎖本機的所有文件;如果00000000.eky丟失了,即使勒索作者公布私鑰,你也無法解鎖被加密過的文件。
最後,吃一塹長一智,請打好補丁、正確設置防火牆、安裝靠譜殺軟,放棄使用WinXP。
原答案:
目前想繞過黑客解密文件是不可能的,但繞過解密,恢復被刪的未加密文件是可行的,只是很考驗人品而已。強烈建議離線操作,也就是啟動WinPE,或者把硬碟掛到別的電腦上再嘗試恢復操作。
【權威報告】WanaCrypt0r想哭勒索蠕蟲數據恢復可行性分析報告 - 安全客 - 有思想的安全新媒體以下段落copy自360追日團隊原文,加粗是我加的:
WannaCry蠕蟲的大規模爆發得益於其利用了MS-17-010漏洞,使得其在傳統的勒索病毒的基礎上具備了自我複製、主動傳播的特性。在除去攻擊荷載的情況下,勒索病毒最重要的是其勒索技術框架。勒索文件加密技術是使用非對稱加密演算法RSA-2048加密AES密鑰,然後每個文件使用一個隨機AES-128對稱加密演算法加密,在沒有私鑰和密鑰的前提下要窮盡或破解RSA-2048和AES-128加密演算法,按目前的計算能力和技術是不可破解的。但是作者在處理文件加密過程中的一些疏漏,大大增加了我們恢復文件的可能性,如果第一時間及時搶救,用戶是能夠恢復大部分數據的。
另外由於勒索贖金交付技術是使用的比特幣,比特幣具有匿名性,比特幣地址的生成無需實名認證,通過地址不能對應出真實身份,比特幣地址的同一擁有者的不同賬號之間也沒有關聯。所以基於加密演算法的不可破解特性和比特幣的匿名特性,勒索病毒這類趨利明顯的惡意攻擊仍然會長時間流行,大家仍需要提高警惕。
先嘗試以恢復刪除方式恢復文件,可能性不大。交錢,完了之後開代理聯繫黑客解密,這是可能性最大的了。除此之外不可能了,只能期待著黑客良心發現,或者半年的活動了(滑稽
蠕蟲WannaCry病毒只是勒索軟體猖獗的開始?
微軟對漏洞埠的處理
除了安全更新,微軟3月份的時候沒有識別針對SMBv1漏洞的緩解因素,微軟批評美國政府沒有通知這個漏洞。
隨著事件的擴大,微軟近期則分析了黑客界臭名昭著的 Shadow Brokers(黑客組織號影子經紀人)流出的據稱率屬於NSA(美國國家安全局)下黑客組織Equation(代號方程式)開發的漏洞工具針對的Windows系統的漏洞,工程師們已經對披露的漏洞進行了調查,大部分漏洞截至14號已經被修補了。
NSA黑客武器庫中攻擊程序列表:
微軟在3月14號對SMB漏洞發布了伺服器安全更新告示MS17-010顯示,更新的程序修正了伺服器消息塊(SMB)對特別請求的處理方式,微軟把3月14號的安全公告的重要指數定為Critical(重要)。
WannaCry變種
之前的病毒阻止域名已經被網路安全研究員MalwareTech搶注,WannaCry病毒製作者花費了2天時間發布變種不包含關閉開關的蠕蟲病毒。
網路安全研究員發現,二次病毒感染的電腦50%+位於俄羅斯。
WannaCry二次病毒由兩部份構成:勒索軟體病毒、SMB蠕蟲病毒。
此次WannaCrypt病毒引發了其他勒索軟體模仿WannaCrypt病毒的界面:
另外,61款測試的殺毒工具中有部分殺毒軟體對WannaCry.EXE病毒程序放行:
截至今天中午,240+勒索筆交易達成。
比特幣今天的成交價:
一般勒索軟體的工作原理
傳播病毒的手段:
病毒作者可能利用各種把戲來說服你下載他們的文件,平時不要隨便接觸不良網站的文件,接收到不明郵件和附件不要隨便點開下載(這類郵件包含不限於各種通過稅收通知形式、不明罰款賬單形式的郵件、不明網路掙錢渠道的郵件)。
WannaCrypt病毒利用RSA+AES加密演算法加密計算機上的各類文件(RSA加密演算法是一種非對稱加密演算法,美國聯邦政府採用的一種區塊加密標準。1977年由羅納德·李維斯特(Ron Rivest)、阿迪·薩莫爾(Adi Shamir)和倫納德·阿德曼(Leonard Adleman)一起提出的)。
一般勒索軟體的工作原理圖
WannaCry病毒的應對措施
此次病毒主要針對的windows版本:Windows XP,Windows 8, Windows Server2003,Windows Server 2008,Windows 8.1等舊版win系統。
①打補丁
Windows 8安全更新程序
Windows 7 64位系統安全更新程序
②關閉SMBv1(非必須),涉及的計算機埠:135、137、445端:
③利用datarecover、Active等數據恢復工具,數據恢復工具理論上只要原盤位沒有被新數據覆蓋,就有恢復的可能,個人使用過的數據工具有
蠕蟲WannaCry病毒只是勒索軟體猖獗的開始? - 知乎專欄基於以下背景和假設:
1.中病毒之後系統能夠啟動
2.中病毒之後病毒會持續加密新增文件
3.中病毒之後被加密的文件確實能夠被黑客通過遠程傳輸秘鑰解密
如果上述前提成立,那麼:
可以設計一個程序:在windows啟動的時候啟動(避免被wannacry幹掉),啟動後自動生成一個文件A(內容已知)。監控文件A的讀寫操作,如被WannaCry加密,則應能夠找到秘鑰(可能是過程秘鑰、過程秘鑰的過程秘鑰、或者依據文件名分散的秘鑰,需要分析代碼,但是一定能夠找到中毒機器上的「根「秘鑰)。
找到秘鑰=解決問題。
歡迎大家討論 這樣是否能夠解決WannaCry類似的病毒? - 知乎
文件恢復軟體可以恢復大部分,如果沒有大量重寫覆蓋的話
現在成本最低的方法是抓住罪犯,人肉解碼。
看運氣試幾個能找到的密鑰,走運的話可以解。
找不到就別想了,現有的計算能力無解的。推薦閱讀:
※為什麼在知乎出沒的卡內基梅隆大學計算機系博士研究生,數量遠多於其它四大 CS 牛校?
※請教我該如何取捨課程,然後如何學習成為一個程序員?
※如何開始用 C++ 寫一個光柵化渲染器?
※大家都在勸退材化環生,那麼除了cs或金融還有好的出路嗎?
TAG:計算機科學 | 計算機病毒 | WanaDecrypt0r20計算機病毒攻擊 |