勒索文件有望恢复！360 的这个工具到底是什么原理？（附下载）

本篇文章1409字，读完约4分钟

利用“永恒的蓝色”漏洞勒索钱财的蠕虫正在世界各地肆虐，所有招聘人员都束手无策，因为大多数安全公司给出的解决方案都是预防性措施。

然而，360给出了事后补救。

今天(5月14日)凌晨2点18分，360名保安突然在微博上发布了一个360 ransomware蠕虫文件恢复工具(文章末尾有下载链接)，声称一些被ransomware加密的文件可以恢复。恢复过程大致如下:

选择加密文件所在的驱动器

扫描后，选择要恢复的文件

恢复前后对比图

▲上图来自360名保安的官方微博

在微博中，作者强烈建议用户选择将恢复的文件保存在干净的移动硬盘或u盘上。同时，作者还表示，不可能100%恢复文件，但可以恢复一定比例的文件，并且成功概率会受到文件数量等多种因素的影响:

该工具文件恢复的成功率会受到文件数量、时间、磁盘操作等因素的影响。一般来说，中毒后恢复得越早，成功的几率就越高。

我们尽了最大努力，但我们不能保证有多少百分比的文件可以成功恢复。祝你好运！

根据以前的安全研究人员，ransomware使用rsa+aes加密算法，这很难在有限的时间内破解。那么这次360发布的工具的原理是什么呢？为什么仍然有一定的可能性恢复文件？此外，许多网民发现，这种“勒索蠕虫文件恢复工具”非常类似于“错误删除文件恢复工具”之前推出的360。为什么？他们使用相似的原则吗？

▲左边是错误删除文件的恢复，右边是勒索文件恢复工具

360的反病毒工程师王良告诉雷锋。这个工具是一个恢复工具。它没有直接破解加密算法，而是在分析了中间件的工作原理后，采用了一种特殊的方法来实现文件恢复。

他们发现wannacrypt软件的一般工作流程如下:

将原始文件读入内存以完成加密，生成加密文件，并删除原始文件。

因此，计算机中的原始文件不是直接加密的，而是被黑客删除的，只有副本是加密的。

▲雷锋制作的示意图。根据专家的描述。

王良向雷Feng.com(公开号码:雷锋网)解释了软件加密原理:

一般来说，主流的ransomware通常有两种操作文件的方式。一种是直接加密和覆盖原始文件。在这种情况下，没有勒索者的钥匙，这几乎是不可恢复的；另一种是先加密并生成一个副本文件，然后删除原始文件。在这种情况下，是有可能恢复的。

然而，狡猾的勒索者通常对文件进行深度处理，例如在删除文件之前用垃圾数据覆盖原始文件。此时，受害者只能通过文件恢复的方式恢复一堆垃圾数据。

幸运的是，当他们分析完wannacrypt ransomware后，发现它并没有对原始文件进行这样的“深度处理”，而是直接删除了它。在王良看来，这是一个相对较低层次的“失策”，这一次360利用了勒索者的“失策”，实现了部分文件恢复。

王良强调，这次发布的工具只是针对想加密的软件，可能对其他软件没有用，不能保证100%恢复所有文件，因为它涉及到存储位置、数量、删除时间、磁盘读写原始文件等因素。但即使如此，他们也希望尽自己的一份力量，帮助人们一个接一个地抢救一些重要的物资。

像许多安全公司一样，他们仍在对这种讹诈蠕虫进行进一步的分析和研究，新的发现和成果将尽快发布。雷锋。com会尽快跟进。

谢文·莫，《雷锋的网络安全》一书的作者。

附件:文件恢复工具下载地址:dl . 360 safe/recovery/ransomrecovery . exe

雷锋原创文章。严禁擅自转载。详情请参考转载说明。

来源：搜狐微门户