勒索病毒肆虐,中国校园网络成重灾区
5月12日晚,全球近百国网民相继遭受到一款名为WNCRYPT“永恒之蓝”的恶意勒索软件攻击,受害电脑被黑客“劫持”,大量文件被加密锁定。中国的企业、医院、政府机关等单位在这场攻击中也未能幸免,特别是校园网络成为重灾区。
目前,中国各大高校已经进入毕业答辩时间,不少学生电脑里的Office文件不幸“中招”无法打开,包括毕业论文、毕业设计和答辩PPT等全被锁定。中了勒索病毒的学生都十分着急,很多人甚至已经开始连夜重做毕业论文和答辩PPT等。
图1:电脑遭受恶意勒索软件攻击
成功分析出勒索病毒加密方式,效率源推出免费数据恢复产品
作为世界领先的数据恢复企业,效率源科技在比特币勒索软件上的研究已经进行了长期的研究和实践,有着丰富的技术和经验。2017年4月,效率源科技就发布了“勒索BT币服务器数据库恢复工具”,成功对感染了Wallet勒索病毒的多家企业进行关键数据恢复。针对本次爆发的“永恒之蓝”勒索病毒,效率源科技连夜组织技术工程师对病毒进行研究和破解,成功分析出此病毒的加密方式。经研究发现,“永恒之蓝”勒索病毒的加密方式主要有两种:
1.大于0x180000字节(1.5MB)文件的加密方式
对于大于0x180000字节(1.5MB)的文件,是按照正常文件总大小整除3,得到每个间隔块大小M,将文件分为M、2M大小的两个间隔块,每个间隔块的前512扇区被填0,被加密的512扇区都会被填0,并将加密的多个512扇区写入到文件尾部。
该类文件数据大多数没有被加密,特别是数据库之类的大文件,我们可以直接使用效率源“勒索BT币服务器数据库恢复工具”进行数据库记录提取,其准确率在93%以上。
图2:效率源勒索BT币服务器数据库恢复工具
针对特殊格式的文档,如docx文档,可进行碎片恢复。目前,效率源科技技术工程师已成功开发出免费工具——“永恒之蓝”比特币勒索Office数据恢复工具V1.0。打开软件,导入被加密文件,选择存储路径,点击数据分析,即可进行数据恢复,操作十分简便,如图3。
图3:效率源“永恒之蓝”比特币勒索Office数据恢复工具V1.0
备注:
效率源 “永恒之蓝”比特币勒索Office数据恢复工具V1.0下载地址:
http://pan.baidu.com/s/1dE8wJS1?qq-pf-to=pcqq.discussion
解压密码:www.xlysoft.net
2. 小于0x180000字节(1.5MB)文件的加密方式
对于小于0x180000字节的文件,其全部内容都进行了加密,但是在加密小文件时,会先加密,再删除原文件。因此,如果计算机被加密,对于一些小文件,可以使用专业数据恢复软件,如效率源DRS数据恢复系统、R-Studio、WinHex等进行数据恢复。
需要注意的是:此类文件恢复成功率,会受到文件数量、时间、磁盘操作情况等因素影响。一般来说,中毒后越早恢复,成功的几率越高。
图4:效率源DRS数据恢复系统
温馨提示:
针对本次效率源推出的免费工具——“永恒之蓝”比特币勒索Office数据恢复工具V1.0,如果您在使用中有什么问题和疑问,可以拨打电话4006-311-393进行咨询。此外,针对比特币勒索病毒攻击事件,有需要进行技术支持和协助的公安客户,也可拨打此电话进行咨询。
效率源 “永恒之蓝”比特币勒索Office数据恢复工具V1.0下载地址:
http://pan.baidu.com/s/1dE8wJS1?qq-pf-to=pcqq.discussion
解压密码:www.xlysoft.net
