WannaCry 產生加密檔後才刪除原檔,檔案救援軟體有可能復原文件

作者 | 發布日期 2017 年 05 月 18 日 13:45 | 分類 網路 , 資訊安全 , 軟體、系統 follow us in feedly

勒索軟體 WananCry 以 AES 加密檔案,再以 RSA 2048 把 AES 密鑰加密,所以一般人極難還原檔案。不過台灣電腦網路危機處理暨協調中心的分析發現,WannaCry 很可能是把額外產生一個加密檔案後才刪除原檔案,而非直接加密原本的檔案,所以利用檔案救援軟體便有機會把檔案復原。



台灣電腦網路危機處理暨協調中心(TWCERT)日前發布《WanaCrypt0r(WanaCry)勒索軟體行為分析報告》,分析 WannaCry 對電腦檔案的行為。他們發現, WannaCry 會先加密檔案,再將原檔案刪除,並立即於 C:\Windows\temp 資料夾下新增一個與刪除檔案同大小之 WNCRYT 副檔名檔案。

他們推測 WannaCry 實際上是把原檔案讀取到記憶體中加密,然後產生一個加密檔案,再刪除原檔案。換句話說,「原先於電腦檔案系統中的檔案並未直接加密,只是刪除,而被加密的檔案僅為原來副本。」因此,用戶有機會藉檔案救援軟體進行檔案復原。

雖然 WannaCry 在建立 WNCRYT 檔案時,有可能剛好覆寫到刪除檔案原本所在位置,但檔案仍有拯救機會。TWCERT 於報告中表示,利用檔案救援軟體 Recuva 能救回部分加密後刪除的檔案。

因此,坊間一些工具聲稱能夠拯救遭 WannaCry 加密檔案,實際上應是檔案修復工具,但硬碟活動頻繁,檔案能成功拯救的機會隨時間會愈來愈低。

TWCERT 提醒用戶應把重要文件妥善備份,隨時更新修補程式及防毒軟體至最新版本,以及使用防火牆,把不需要的通訊埠及應用程式權限關閉。

(本文由 Unwire Pro 授權轉載;首圖來源:pixabay

延伸閱讀: