效率源稱已破解比特幣勒索病毒是真是假？

rt.

勒索軟體最新重大技術突破！效率源推出加密文檔恢復免費軟體！ - 效率源科技

剛剛口胡了……大家還是好好看看效率源的文章吧。

簡而言之，不到1.5MB的小文件可以按誤刪恢復處理，超過1.5MB的大文件實際上只加密了非常小的一部分數據，忽略掉被加密破壞的部分可以直接提取餘下的未加密數據。

===============================================================

又用虛擬機測試了一下WanaCry樣本。

不知道是不是樣本不一樣，我用1GB、內容全是0x00的「偽」txt文件作誘餌讓病毒加密，結果用十六進位編輯器打開，發現整個文件看上去都被加密了，並不是部分被加密。

===============================================================

又粗略觀察了一下……加密大文件時，會先把原文件重命名為「原文件名.WNCYR」（不是打錯，是WNCYR而不是WNCRY），然後確實會按效率源分析的那樣只加密一小部分，大部分數據仍然完好。看上去勒索病毒只會讀取這個文件的內容，執行加密，然後把加密後的數據寫到另外一個文件里。

但是，這個文件最終不會留下來，很有可能會在被刪後，數據又被後續的寫入操作覆蓋破壞。最終留下來的文件，仍然只有被完整加密過的「原文件名.WNCRY」。

以上描述並不準確，還是希望有專業的逆向分析來取代這篇外行強答……

我有一個思路，不知道可行不可行。