PCEVA,PC绝对领域,探寻真正的电脑知识

标题: 一招救回被敲诈病毒加密的文件，但固态硬盘用户郁闷了 [打印本页]

作者: 绝对有料 时间: 2017-5-15 15:26
标题: 一招救回被敲诈病毒加密的文件，但固态硬盘用户郁闷了
利用比特币匿名敲诈收取赎金的Wana Decrypt0r病毒最近席卷全球，国内更是因为大量老系统关闭自动更新而错过了抵御病毒的最佳机会。要找回被加密的文件，除了乖乖支付赎金之外，还有一招有机会免费救回文件。

从原理上说，病毒在加密文件后会将原来的文件删除，虽然已经被加密的文件无法破解，但被删除的数据只要通过反删除软件就能救回。360和金山都发布了文件恢复工具，其实任意一个具备文件恢复功能的软件都能做到，比如PE工具箱里普遍自带的DiskGenius

被加密文件能成功被解救前提是发现中毒后要立刻停止使用电脑，避免已删除文件的位置被新写入数据覆盖。悲剧的是这一招并不适合固态硬盘用户，因为Trim指令会让固态硬盘在删除文件后将对应位置数据彻底抹除，数据基本没有被找回的可能。

那么固态硬盘能否关闭Trim使用呢？以管理员身份运行命令行提示符，输入fsutil behavior set disabledeletenotify 1回车即可禁用Trim特性。

不过TLC固态硬盘用户最好不要这样做，这是因为TLC闪存不仅写入（Program编程）速度很慢，擦除（Erase）速度更慢。在没有Trim支持的情况下垃圾回收效率大幅下降，TLC固态硬盘受到的性能影响更为显著，同时关闭Trim后对闪存磨损增加，这对于本来寿命就偏低的TLC更是雪上加霜。

这次比特币敲诈病毒给我们带来的教训是，随时安装系统补丁，尤其是修复重大系统漏洞的补丁，其次是重要文件在主机之外做好多重备份，以防万一。

作者: 牙医小天 时间: 2017-5-15 16:03
果然是好办法

作者: hhm73 时间: 2017-5-15 16:04
用ghost系统和关闭自动更新的是自找麻烦

作者: konglang_616 时间: 2017-5-15 16:24
主要是加密啊

作者: Apache 时间: 2017-5-15 16:33
原来不是直接在文件上加密？是复制一份，加密，再把原来的删除？

作者: 小钻风 时间: 2017-5-15 16:39
我记得金山的那个恢复文件程序扫描是不要钱的，但恢复会收费

作者: 天下布兔 时间: 2017-5-15 18:21
都经过随机填充了的，只有很少一部分能恢复出来。聊胜于无吧

作者: ljz6600 时间: 2017-5-15 18:33
"从原理上说，病毒在加密文件后会将原来的文件删除"

这个的前提是：病毒是生成所有加密文件，再统一删除所有未加密文件。若一个一个处理的，那就没戏了，但360、金山那么说，说明属于前者。

作者: 909648183 时间: 2017-5-15 19:21
本帖最后由 909648183 于 2017-5-15 19:24 编辑

Apache 发表于 2017-5-15 16:33
原来不是直接在文件上加密？是复制一份，加密，再把原来的删除？

直接在原文件上加密，怎么才能做到？
直接针对物理地址进行底层磁盘读写？安全软件分分钟拦截你没商量

作者: Apache 时间: 2017-5-15 19:37

ljz6600 发表于 2017-5-15 18:33
"从原理上说，病毒在加密文件后会将原来的文件删除"

这个的前提是：病毒是生成所有加密文件，再统一删除 ...

这么说磁盘空间使用了99.99%，是不是就安全了

作者: StormBolt 时间: 2017-5-15 22:08

ljz6600 发表于 2017-5-15 18:33
"从原理上说，病毒在加密文件后会将原来的文件删除"

这个的前提是：病毒是生成所有加密文件，再统一删除 ...

说明是后者吧，360不是说了恢复部分

如果是前者，那么可用空间足够的，不会被覆写的情况，简直是100%恢复

作者: 小奇oO 时间: 2017-5-15 22:32
而然，并不是所有的删除后的文件都能恢复成功，并成功打开。。。

作者: eikeime 时间: 2017-5-16 01:36
本帖最后由 eikeime 于 2017-5-16 01:42 编辑

不知道 windows 存储池能不能用软件恢复删除的文件，改天试试。难道要做了镜像之后再做个文件历史纪录才终于安全点么

作者: 爱吟诗坦 时间: 2017-5-16 10:36

eikeime 发表于 2017-5-16 01:36
不知道 windows 存储池能不能用软件恢复删除的文件，改天试试。难道要做了镜像之后再做个文件历史纪录才终 ...

建议先抓个镜像再搞恢复。我恢复都要先抓个镜像，不然瞎搞越搞越难恢复

作者: 蓝天翔燕 时间: 2017-5-16 12:59
ssd装系统压力不大

作者: 红色狂想 时间: 2017-5-17 21:27

Apache 发表于 2017-5-15 19:37
这么说磁盘空间使用了99.99%，是不是就安全了

病毒有两个互斥量进程吗，不然遍历递归整个磁盘加密打包10TB大姐姐文件时发生缓冲区溢出进程出错闪退了怎么办？

作者: Apache 时间: 2017-5-18 19:46

红色狂想发表于 2017-5-17 21:27
病毒有两个互斥量进程吗，不然遍历递归整个磁盘加密打包10TB大姐姐文件时发生缓冲区溢出进程出错闪退了怎 ...

不是复制一份，再加密，再删除原文件么？没有可用空间，没法复制，就不能加密了啊。

作者: 红色狂想 时间: 2017-5-18 19:58

Apache 发表于 2017-5-18 19:46
不是复制一份，再加密，再删除原文件么？没有可用空间，没法复制，就不能加密了啊。
...

我的意思是他这样复制打包加密再删除循环作业时万一中途进程崩溃闪退了怎么办？

作者: Apache 时间: 2017-5-19 20:03

红色狂想发表于 2017-5-18 19:58
我的意思是他这样复制打包加密再删除循环作业时万一中途进程崩溃闪退了怎么办？ ...

这么小的程序再弄个崩溃…… 你也太小看黑客了。

欢迎光临 PCEVA,PC绝对领域,探寻真正的电脑知识 (https://bbs.pceva.com.cn/)