5月12日晚上20时左右,全球近百国网民相继遭受到一款名为“永恒之蓝”(Wannacry)的恶意勒索软件攻击,受害电脑被黑客“劫持”,全球爆发大规模勒索软件感染事件。包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。中国国内多所高校、医院、政府单位的网络也遭受到勒索病毒的攻击,大量重要文件被病毒加密锁定。
5月15日,记者从内江市的一家数据恢复企业——四川效率源信息安全技术股份有限公司(下称效率源科技)了解到,该公司在比特币勒索软件上的研究已经进行了长期的研究和实践。
据效率源科技公司总经理梁效宁介绍,2017年以来,效率源科技已经接到公安机关几十起针对企业进行勒索的案件协助。其中,最近的一次案例发生在今年4月:四川某市一燃气公司员工上班时发现,公司燃气系统服务器被勒索软件病毒感染,所有关键数据和信息都被锁定,导致整个系统无法正常运行。黑客在所有被加密的文件上都留下了他们的邮箱联系方式,要求燃气公司支付4个比特币(约合人民币2.8万元)才肯解除密码锁定。
针对本次爆发的“永恒之蓝”勒索病毒,效率源科技组织技术工程师连夜对病毒进行研究和破解,成功分析出此病毒的加密方式。
经研究发现,“永恒之蓝”勒索病毒的加密方式主要有两种,来听听效率源科技工程师赵飞的详细介绍:
1.大于0x180000字节(1.5MB)文件的加密方式
对于大于0x180000字节(1.5MB)的文件,是按照正常文件总大小整除3,得到每个间隔块大小M,将文件分为M、2M大小的两个间隔块,每个间隔块的前512扇区被填0,被加密的512扇区都会被填0,并将加密的多个512扇区写入到文件尾部。
该类文件数据大多数没有被加密,特别是数据库之类的大文件,可以直接使用效率源“勒索BT币服务器数据库恢复工具”进行数据库记录提取,其准确率在93%以上。
针对特殊格式的文档,如docx文档,可进行碎片恢复。目前,效率源科技技术工程师已成功开发出免费工具——“永恒之蓝”比特币勒索Office数据恢复工具V1.0。打开软件,导入被加密文件,选择存储路径,点击数据分析,即可进行数据恢复,操作十分简便,如图3。
2. 小于0x180000字节(1.5MB)文件的加密方式
对于小于0x180000字节的文件,其全部内容都进行了加密,但是在加密小文件时,会先加密,再删除原文件。因此,如果计算机被加密,对于一些小文件,可以使用专业数据恢复软件,如效率源DRS数据恢复系统、R-Studio、WinHex等进行数据恢复。
需要注意的是:此类文件恢复成功率,会受到文件数量、时间、磁盘操作情况等因素影响。一般来说,中毒后越早恢复,成功的几率越高。
(记者 邵明亮)
|
