Análisis del principio de cifrado del virus Wannacrypt ransomware | ¿Se pueden recuperar los archivos del gusano ransomware?

Los gusanos que utilizan la vulnerabilidad "Eternal Blue" de Windows para pedir rescate están arrasando en todo el mundo. Todas las personas atrapadas están indefensas porque la solución que ofrecen la mayoría de las empresas de seguridad es tomar medidas preventivas por adelantado. Sin embargo, muchos usuarios han estado sufriendo los estragos de los virus. 360 Security Guards lanzó una herramienta de recuperación de archivos del gusano ransomware 360 ​​en Weibo, que afirma poder recuperar algunos archivos cifrados por ransomware, archivos 360 "ransomware". herramientas.

Esta herramienta es una herramienta de recuperación creada para el ransomware Wannacrypt (comúnmente conocido como: WannaCry). No descifra directamente el algoritmo de cifrado, sino que utiliza técnicas especiales para lograr la recuperación de archivos analizando el principio de funcionamiento del ransomware. .

El flujo de trabajo general actual del ransomware Wannacrypt es el siguiente:

Leer el archivo original en la memoria para completar el cifrado, generar el archivo cifrado y eliminar el archivo original.

Por lo tanto, el archivo original en la computadora en realidad no se cifró directamente, sino que el pirata informático lo eliminó y solo se cifró una copia.

Principio de cifrado del ransomware:

En términos generales, los virus ransomware convencionales suelen tener dos formas de manipular archivos. Una es cifrar y sobrescribir directamente el archivo original. recuperar sin la clave del ransomware; la otra es cifrar primero y hacer una copia del archivo y luego eliminar el archivo original, en cuyo caso es posible la recuperación.

Sin embargo, el ransomware astuto generalmente realiza un procesamiento profundo de los archivos, como sobrescribir los archivos originales con datos basura antes de eliminarlos, en cuyo caso la víctima sólo puede recuperar un montón de archivos mediante la recuperación de archivos basura. datos.

Afortunadamente, cuando analizaron el ransomware Wannacrypt, descubrieron que no realizaba un "procesamiento tan profundo" de los archivos originales, sino que los eliminaba directamente. Esto parece ser un "error" de nivel relativamente bajo, y 360 aprovechó el "error" del ransomware para lograr la recuperación de algunos archivos.

La herramienta lanzada esta vez es solo para Wannacrypt ransomware y puede no ser útil para otros virus ransomware, y no puede garantizar la recuperación del 100% de todos los archivos, porque está relacionado con la ubicación de almacenamiento, la cantidad de eliminación, y tiempo de eliminación de los archivos originales, condiciones de lectura y escritura del disco, etc. Pero aun así, puede ayudar a las personas a recuperar sus archivos. Pero aun así, es una ayuda para ayudar a las personas a rescatar algunos datos importantes y guardarlos.