电脑中了WannaCry勒索病毒怎么办?电脑中了勒索病毒的恢复解决方法
近日,勒索病毒席卷全球PC,这种病毒通过威胁用户数据安全而勒索“比特币”,引发众多电脑用户恐慌。现在问题来了,中了勒索病毒能恢复吗?下面脚本之家的小编就来简单说一下电脑中了勒索病毒解决方法。
Q:中了勒索病毒能恢复吗?
A:勒索病毒是此前活跃的勒索软件Wallet的一类变种,运用了高强度的加密算法难以破解,被攻击者除了支付高额赎金外,往往没有其他办法解密文件,只有支付高额赎金才能解密恢复文件。
虽然病毒爆发初期,文件恢复方面没有办法,但目前各大安全厂商都纷纷推出了查杀恢复工具,包括360安全卫士、金山卫士、QQ电脑管家等,目前这些安全软件都可以为中勒索病毒能电脑恢复文件,因此中了勒索病毒能恢复的,千万不要去交赎金恢复数据。
Q:电脑中了勒索病毒解决方法?
一旦电脑中了病毒,大家可以首先想到要去下载杀毒软件进行查杀,目前微软自带的杀毒软件、360杀毒、金山杀毒、电脑管家杀毒等工具都可以清理病毒并恢复数据,因此首先去下载杀毒软件去清理病毒。
图为金山毒霸正恢复中了勒索病毒的电脑文件
如果遇到一些安全软件无法安装,建议在电脑安全模式下安装。
另外,如果电脑中没有重要数据,也可以通过重装系统的方式解决。尤其是XP用户,建议重装最新的Win10安全系统,以提升电脑安全。
对于还没中勒索病毒的电脑,建议及时更新安全补丁,关闭电脑445端口,及时备份重要数据等。
如果不幸中招,我们如何尝试恢复被恶意加密的资料文件,下面带来电脑中了勒索病毒的恢复解决方法。
在测试病毒的时候,小编就发觉一个奇怪的现象,在WannaCry未完成加密时,被加密文件目录下出现了原文件与被加密后的文件共存现象,待WannaCry病毒加密完毕后,资料原文件就不见了,应该是给删除了。
图2 原文件与加密后文件并存的短暂时间
WannaCry敲诈者病毒加密后的文件能恢复么?实测一下
如果原文件只是给简单做了删除操作,那么我们就有了恢复原文件的希望。但如果病毒在删除文件时,做了“清除”文件操作,也就是在删除文件后用随机数据填充被删除文件所在存储地址,那就没多少希望进行数据恢复了。
不管如何,咱来实测一下。
首先,在测试机的D盘上放上测试目录“手机qq7.0”,里边包含了图片类型文件与文本文件与office文档,共计文件30个。
图3 测试文件夹内容
接着小编在测试机上运行WannaCry病毒(请勿模仿,资料数据文件灰飞烟灭可不是闹着玩的),过了一会,测试文件夹的资料文件就给恶意加密了。
图4 测试文件夹里的资料全部被恶意加密
接着,小编安装了一款数据恢复软件,尝试对被删除的原文件进行恢复操作。
图5 启动数据恢复软件
测试结果让小编吃惊,竟然成功的找到了被病毒删除的原文件,赶紧的尝试恢复操作。
图6 成功找到被病毒删除的原文件
图7 尝试进行被删除文件的恢复操作
结果就是,小编成功地恢复了被病毒删除的原文件。
图8 成功恢复原文件
测试到此,可以庆幸的是,WannaCry病毒并没有对原文件进行清除操作。不过有研究人员说WannaCry病毒会对资料原文件进行清除操作,难道需要更多的等候时间病毒才能完成清除操作?难道是新变种?需要注意的是,这个方法并不是解密被病毒加密的文件,被病毒加密的文件采用了高强度加密方式,没有病毒作者手里的密钥,破解几率渺茫。
(更新,有研究表明,该病毒对小于1.5M的文件才进行了全部加密,对于大于1.5M的文件采用的是非高强度加密方式,可能是病毒作者为了加快加密速度所设置的,本文也将介绍一下大于1.5M的文件的恢复方法,你也可以尝试一下,具体方法请往下看)。死马当活马医 数据恢复的注意事项
不管怎样,中招者可以尝试恢复一下文件,死马当活马医还是可以的。需要注意的是,数据恢复在支持TRIM的SSD硬盘上恢复数据的机会几乎为零。当你尝试自行恢复被误删除文件前,请仔细阅读下边的注意事项,切记!
普通用户想要自行恢复文件,需要有几个基本的条件与注意事项:
第一:被恢复文件所占空间(磁盘分区)不能写入新文件。因为新文件所使用的磁盘空间可能正是你想要恢复文件所占的空间,旧文件被新文件所替换,将使得恢复操作变得困难。
所以,你发现文件丢失,第一时间应该停止一切操作。如果被丢失的文件位于系统盘,更是需要进行立刻的断电操作。在本文,建议一发现病毒感染,立刻关闭计算机,然后,将硬盘挂接到其它电脑中,以从盘形式加载,从中避免新文件的写入。
需要注意的是,浏览网页、下载及安装数据恢复软件也是一系列的文件写入操作,所以最好的操作就是以从盘形式加载,避免这些文件操作影响到文件的恢复成功机率。安装数据恢复软件时,一定不要安装到需恢复数据文件所在磁盘分区。
如果没有第二台电脑,那么就只能在本机中进行数据恢复操作了,你可以用U盘PE系统来引导电脑启动然后再在PE系统中进行文件恢复操作。
总之要记住的是,不要往被恢复文件所在分区写入任何数据,比如保存文件、修改文件等的操作都是需要禁止的,安装恢复软件也记得安装到其它分区啊。
那个啥,如果你要恢复的资料涉及上百万,或者是有纪念意义的老照片等等的宝贵资料,那么建议你立刻停止尝试自行恢复,把硬盘拆下来,交给专业人士去进行数据恢复操作,就别瞎折腾了,以免增加恢复难度。你也别交给楼下的电脑店啊,说不准他用的就是小编所用的软件,有的还会胡搞瞎搞。
数据恢复简单指南 有了它们你也可以恢复被误删除的文件
然后就是选择啥恢复软件的问题,现在的数据恢复软件大多都大同小异,相同的是,大多数都不是免费的。较为知名的有Finaldata、EasyRecovery、O&O DiskRecovery 、RecoverMyFiles、DiskGenius、易数数据恢复精灵等,还有金山毒霸里边的金山数据恢复,不过大多都不是免费的,要注意的是不要下载到带病毒版的了。因为需要恢复的文件一般都比较的宝贵,黑客们也喜欢这些资料哦。目前国产杀毒软件推出了免费恢复文件工具,你也可以试试。
这里介绍的是EasyRecovery,这个工具使用比较简单。
EasyRecovery的安装简单,下一步策略就可安全完毕,记得不要把它安装在待恢复文件所在分区。
图9 记得修改安装路径
EasyRecovery的使用简单,软件使用向导模式,基本上看着向导提示就可以完成文件恢复操作,比较的轻松愉快。在媒体类型选项中我们看到EasyRecovery支持对硬盘及移动存储器如U盘、SD卡等的设备进行数据恢复操作。
此例中我们恢复的是硬盘数据,选择后可以进行硬盘分区的选择,选择接着就是恢复已删除的文件和文件系统类型,一般勾选FAT+NTFS就可。接下来就是一段时间搜索过程,然后就会显示找到的被删除文件,在列表中找到目标,将其另存到其它分区即可,记住不要保存到待恢复文件所在分区。
图10 恢复向导
再来看看一款国产的非常强大的磁盘管理工具DiskGenius,在以前老鸟们经常用它来进行硬盘分区、查错等的操作,现在它也有非常强大的数据恢复功能,来看看吧。软件官网在这里。
DiskGenius无需安装,下载回来直接解压就可使用。操作也相对简单,比较遗憾的是没有向导。恢复文件的操作也比较简单,只需要在DiskGenius磁盘列表的待恢复文件所在分区使用右键菜单,即可看到“已删除或格式化后的文件恢复”选项,选择后进入恢复选项,可以选择需要恢复的文件类型。
开始后就是一段时间的扫描,然后就是显示检测到的删除文件列表,接着就是恢复文件的操作了。
图11 DiskGenius恢复向导
DiskGenius还有一个非常好用的功能,那就是可以恢复丢失的分区表,这个功能可以干嘛呢?就是当你的硬盘莫名奇妙的从多个分区变成了一个分区,或者干脆一个分区都没有了的时候使用。笔者就遇到过多次这种现象,搞不清是什么造成的分区表丢失的,可是用户却急了,这可不是丢失一两个文件,而是硬盘里的文件全部不见了。
小知识:硬盘分区表可以说是支持硬盘正常工作的骨架。操作系统正是通过它把硬盘划分为若干个分区,然后再在每个分区里面创建文件系统,写入数据文件。简单的来说,它记录了你的硬盘C、D、E等各个分区具体是如何划分区域的。
接着笔者熟练的用U盘PE系统引导电脑启动,然后运行DiskGenius,找到菜单栏--工具--搜索已丢失的分区,接着它就会一个一个分区的进行查找,你需要看看找到的分区大小是否相符。确认后进行保存操作。数据无价,没有把握的话还是请教一下身边的高手吧。
图12 DiskGenius分区表恢复
此外,使用DiskGenius先备份一下磁盘分区表以备不时之需会是个不错的主意。要备份到别的设备中去哦。
图13 DiskGenius分区表备份
大于1.5M的被加密文件有被解密希望?是真的么?
小编刚刚说了,如果文件真的被高强度加密方式加密了,那没有密钥解密的几率就几乎为零了。不过,据国内效率源科技经研究发现,“永恒之蓝”勒索病毒的加密方式主要有两种。
1、WannaCry敲诈者对大于1.5MB文件的加密方式
对于大于0x180000字节(1.5MB)的文件,是按照正常文件总大小整除3,得到每个间隔块大小M,将文件分为M、2M大小的两个间隔块,每个间隔块的前512扇区被填0,被加密的512扇区都会被填0,并将加密的多个512扇区写入到文件尾部。针对特殊格式的文档,如docx文档,可进行碎片恢复。目前,效率源科技技术工程师已成功开发出免费工具——“永恒之蓝”比特币勒索Office数据恢复工具V1.0。打开软件,导入被加密文件,选择存储路径(建议保存在干净的移动硬盘或U盘上),点击数据分析,即可进行数据恢复。
也就是说,可能基于加密速度考虑,病毒作者并没有对大文件也进行高强度加密方式加密文件,这也给文件解密带来了希望。小编也尝试了该工具,不过不知为何不能成功恢复文件,表现为点击了“数据分析”后,保存路径中没有文件。不管如何,文件被病毒恶意加密的同学可以尝试使用该工具尝试解密一下。如果真的未经过高强度加密,那还有解密的希望,就是尚不知道病毒是否是真的如此操作。
此外,360安全卫士与金山毒霸也有对应的文件恢复工具推出,同样可以尝试一下。
图14 测试文件
图15 测试文件已被病毒恶意加密
图16 不知为何没有反映
2、WannaCry敲诈者对大于小于0x180000字节(1.5MB)文件的加密方式:
对于小于0x180000字节的文件,其全部内容都进行了加密,但是在加密小文件时,会先加密,再删除原文件。也就是说,可以尝试以上边小编所说的方式进行删除文件恢复操作,而解密被加密的文件就没戏。
总结
万一成功恢复了被病毒恶意删除的原文件,赶紧的进行异地备份。你也别大意,依据目前病毒的发展速度,相信很快就有变种出来,克服之前病毒的缺陷,使得它更难防范,数据文件清除操作也会加入其中,所以安全为上,装个靠谱的杀毒软件,定期的异地备份,硬盘有价数据无价啊!此外,其它的敲诈者病毒有没有这个漏洞尚待发掘,但小编测试过的几个敲诈者病毒都是直接高强度加密文件的。
相关文章
“永恒之蓝”(Wannacry)蠕虫全球肆虐 安装补丁的方法
5月12日晚,一款名为Wannacry的蠕虫勒索软件袭击全球网络,这被认为是迄今为止最巨大的勒索交费活动,影响到近百个国家上千家企业及公共组织。该软件被认为是一种蠕虫变种2017-05-17445端口怎么关闭?windows关闭445端口预防中勒索病毒的详细设置技巧汇
目前针对这种比特币勒索病毒最有效的方法就是下载更新补丁,及时修复漏洞,同时关闭445端口的网络访问权限。部分系统已经开启1此端口,那么需要手动设置进行关闭。那么4452017-05-17445端口服务禁用恢复工具(打补丁后使用) 勒索蠕虫漏洞修复版
445端口服务禁用恢复工具(打补丁后使用)是一款关于445端口被禁用后的开启方法工具注册,对于目前不支持自动打补丁的操作系统2017-05-17- 5.12号WCry2.0勒索软件蠕虫大面积爆发,漏洞主要利用4.14号NSA泄露的武器库中的微软0day,进行大面积感染和传播。由于采用了RSA和AES加密算法,影响巨大。本文将不断更新,2017-05-17
- 2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密,本文对其2017-05-17
最新评论