從5月12日爆發(fā)至今,名為WannaCry的勒索病毒讓全球數(shù)十萬Windows計(jì)算機(jī)中招,黑客將用戶計(jì)算機(jī)中的重要文件實(shí)施加密,并索要贖金解鎖。這種情況如果發(fā)生在企業(yè)服務(wù)器當(dāng)中,那么將帶來嚴(yán)重?fù)p失。
對(duì)此,阿里云安全團(tuán)隊(duì)經(jīng)過不懈努力研究,終于找到解救被WannaCry病毒劫持的計(jì)算機(jī)的辦法。
5月20日,阿里云安全團(tuán)隊(duì)向云上、云下服務(wù)器用戶開放勒索病毒“一鍵解密和修復(fù)”工具。
經(jīng)過實(shí)際測(cè)試,如果被勒索后未重啟操作系統(tǒng),該工具可以恢復(fù)已被WannaCry勒索病毒加密的文件。
阿里云建議,在勒索病毒“中招后”,不要馬上關(guān)閉、重啟操作系統(tǒng),也不要去手工查殺病毒,直接使用該修復(fù)工具嘗試恢復(fù)數(shù)據(jù)。
一、適用范圍
該工具適用于云上、云下Windows服務(wù)器操作系統(tǒng)用戶。
操作系統(tǒng)版本包括:Windows Server 2003、Windows Server 2008。
二、工作原理及研究基礎(chǔ)
本次發(fā)布的修復(fù)工具基于wannakiwi項(xiàng)目的研究成果:既通過搜索內(nèi)存中的數(shù)據(jù),獲取解密的關(guān)鍵素?cái)?shù)來進(jìn)行數(shù)據(jù)解密。
阿里云安全團(tuán)隊(duì)在此研究基礎(chǔ)上,進(jìn)行調(diào)試和封裝,讓工具簡(jiǎn)單易用。
二、如何恢復(fù)
請(qǐng)按以下步驟進(jìn)行操作:
1、按照文末給出的鏈接,下載修復(fù)工具到被加密的服務(wù)器或PC機(jī)器上。
2、雙擊運(yùn)行,如下圖所示:
3、點(diǎn)擊“恢復(fù)文件”按鈕,執(zhí)行文件恢復(fù)功能,期間執(zhí)行時(shí)間會(huì)較長(zhǎng),請(qǐng)耐心等待。
4、恢復(fù)數(shù)據(jù)完畢后,點(diǎn)擊“清除病毒”按鈕,清理掉蠕蟲病毒程序及服務(wù)。
三、注意事項(xiàng)
在大多數(shù)情況下,加密的文件可以被成功恢復(fù)。
也有因內(nèi)存數(shù)據(jù)被二次寫入,覆蓋原有加密狀態(tài)時(shí)的數(shù)據(jù),導(dǎo)致數(shù)據(jù)恢復(fù)不成功的案例。
這是因?yàn)?,該工具通過暴力搜索內(nèi)存中的數(shù)據(jù),獲取解密的關(guān)鍵素?cái)?shù)來進(jìn)行數(shù)據(jù)解密。一旦重啟或手工查殺會(huì)導(dǎo)致該數(shù)據(jù)被覆蓋,則永久無法直接解密。
不過,如果使用該工具時(shí),出現(xiàn)數(shù)據(jù)解密失敗,不會(huì)對(duì)系統(tǒng)造成任何影響。
此外,用戶也可以選擇使用磁盤數(shù)據(jù)恢復(fù)軟件來嘗試恢復(fù)數(shù)據(jù)。