La Red de Conocimientos Pedagógicos - Currículum vitae - Análisis del principio de cifrado del virus ransomware Wannacrypt | Los archivos del virus ransomware gusano se pueden recuperar

Análisis del principio de cifrado del virus ransomware Wannacrypt | Los archivos del virus ransomware gusano se pueden recuperar

El gusano que aprovecha la vulnerabilidad "Eternal Blue" de Windows para ransomware está arrasando en todo el mundo. Todas las víctimas están indefensas porque las soluciones proporcionadas por la mayoría de las empresas de seguridad son medidas preventivas. Sin embargo, muchos usuarios han sufrido los estragos de los virus y se sienten miserables. 360 Security Guards lanzó una herramienta de recuperación de archivos de gusanos ransomware 360 ​​en Weibo, afirmando que puede recuperar algunos archivos cifrados por ransomware, archivos de "virus ransomware" 360. Cómo utilizar la recuperación. herramientas.

Esta herramienta es una herramienta de recuperación creada para el ransomware Wannacrypt (comúnmente conocido como: WannaCry). No descifra directamente el algoritmo de cifrado, pero después de analizar el principio de funcionamiento del ransomware, utiliza una recuperación de archivos especial. utilizando técnicas.

El flujo de trabajo general actual del ransomware Wannacrypt es el siguiente:

Leer el archivo original en la memoria para completar el cifrado, generar un archivo cifrado y eliminar el archivo original.

Por lo tanto, los archivos originales en la computadora no fueron cifrados directamente, sino que fueron eliminados por los piratas informáticos y solo se cifraron las copias.

Principio de cifrado del ransomware:

En términos generales, el ransomware convencional suele tener dos formas de operar archivos. Una es cifrar y sobrescribir directamente el archivo original. En este caso, sin la clave del chantajista. , es casi imposible recuperarlo; el otro método es cifrar primero una copia del archivo y luego eliminar el archivo original. En este caso, la recuperación es posible.

Sin embargo, los extorsionadores astutos suelen realizar un procesamiento profundo de los archivos, como sobrescribir los archivos originales con datos basura antes de eliminarlos. En este momento, la víctima sólo puede recuperar un archivo utilizando métodos de recuperación de archivos. de datos basura.

Afortunadamente, cuando analizaron el ransomware Wannacrypt, descubrieron que no realizaba un "procesamiento profundo" en el archivo original, sino que lo eliminaba directamente. Esto parece ser un "paso en falso" de nivel relativamente bajo, y 360 aprovechó el "paso en falso" del chantajista esta vez para lograr una recuperación parcial del archivo.

La herramienta lanzada esta vez es sólo para Wannacrypt ransomware. Puede que no sea útil para otros virus ransomware. Al mismo tiempo, no puede garantizar la recuperación del 100% de todos los archivos porque involucra la ubicación y la cantidad de almacenamiento. y eliminación de los archivos originales. Factores como el tiempo y las condiciones de lectura y escritura del disco. Pero aun así, podemos ayudar a las personas a rescatar información importante una por una.

上篇: A Capella (Algo falta) Letra 下篇: ¿Cómo traducir "Guanju Luojiu, en Hezhou" al inglés?

Artículos populares