最近“永恒之蓝”病毒在全世界范围内肆无忌惮地传播,无数医院,学校,企业电脑中招,中招之后都能在指定时间内乖乖交钱才能让自己的电脑正常运行。一时间,所有的专业做计算机安全的企业和黑客纷纷给出补救措施,但是补救措施全是针对还未被感染的电脑,比如关闭445电脑端口,暂停文件共享功能等,让其免于被病毒感染,但针对广大已经被感染的计算机来说,却爱莫能助,无能为力。
但最近360发布了一套工具有可能能够恢复所有被加密的电脑文件,原理是什么呢?原理其实非常简单,估计病毒开发者知道后会后悔不已。要知道具体原理的话,首先要大概了解病毒的工作流程。
具体地病毒感染电脑后会将电脑里的文件放到内存里进行加密处理,然后再写回到磁盘里,然后把原始文件删除。咋一看好像没有什么问题,因为病毒的加密算法是目前最顶尖的加密算法,现有计算机是不可能在100年的时间内破解,什么意思呢,就是密码的可能太多,即使计算机不断地开足马力去尝试不同的密码,100年也试不完。如果量子计算机被研制出来那就另当别论。
好了回到之前的问题,既然加密算法破解不了,那就不可能恢复数据,但为何360能够破解呢。原因就在于病毒开发者再加密文件数据之后,只是删除了内存中的原始文件,硬盘里的文件并没有删除,只是原始文件占据的磁盘空间被释放了,但原始数据其实还是在的。一般而言,病毒开发者在加密完文件后会将磁盘上的文件给覆盖掉,但这次病毒开发者可能太大意一时忘记,使得文件是可以恢复的。
那么具体如何操作呢,首先是下载使用“360勒索蠕虫病毒文件恢复工具”
下载地址http://dl.360safe.com/recovery/RansomRecovery.exe
具体如何操作见下图:
免疫工具下载地址:
http://dl.360safe.com/nsa/nsatool.exe
微软补丁下载地址。
win7 : https://mirror.sdu.edu.cn/ms17-010/win7/ win8 : https://mirror.sdu.edu.cn/ms17-010/win8/
win10 : https://mirror.sdu.edu.cn/ms17-010/win10
全部官方版本丁
https://technet.microsoft.com/zh-cn/library/security/MS17-010