[情報] 中wncry有救了?
剛剛在一個電腦的社團看到有人po出WanaCrypt行為模式分析
直接複製內文貼上:
被WannyCry加密的用戶檔案救援可能性分析
---------------------------------------------------------------
剛剛針對WannyCry病毒的模型分析
他的行為模式是
1.複製檔案到快取(記憶體或虛擬記憶體)
2.加密
3.刪除舊檔案
4.放出加密過的檔案
-----------------------------
很關鍵的地方!!!
檔案被標示為刪除後,不會馬上被抹除/複寫
所以當機立斷要做的事情
1.關機
2.使用第三方開機(另一台電腦、PE開機等)
使用類似「 Recuva」這種撈出磁區內刪除檔案
3.開始救援,但能救多少不知道,看你的磁碟滿的狀態
如果很空 那就可以救回來很多,如果很滿,恭喜你會被複寫掉很多..
※※流程我講的很粗糙,如果不會用,可以試著GOOGLE
或請身邊懂電腦的工具人幫忙,別找我謝謝。
一樣要分享出去就分享,不用過問我了
晚上我在寫一篇綁架病毒與ACL權限概念給大家..如果我有空的話qq
截圖:http://imgur.com/ehX2T7z
不知道可不可行
有中獎的人要試試看嗎?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 103.5.102.185
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494647884.A.69F.html
※ 編輯: narihira2000 (103.5.102.185), 05/13/2017 12:00:47
推
05/13 12:02, , 1F
05/13 12:02, 1F
→
05/13 12:02, , 2F
05/13 12:02, 2F
推
05/13 12:03, , 3F
05/13 12:03, 3F
→
05/13 12:05, , 4F
05/13 12:05, 4F
推
05/13 12:05, , 5F
05/13 12:05, 5F
推
05/13 12:07, , 6F
05/13 12:07, 6F
推
05/13 12:09, , 7F
05/13 12:09, 7F
推
05/13 12:17, , 8F
05/13 12:17, 8F
推
05/13 12:20, , 9F
05/13 12:20, 9F
推
05/13 12:20, , 10F
05/13 12:20, 10F
→
05/13 12:20, , 11F
05/13 12:20, 11F
→
05/13 12:20, , 12F
05/13 12:20, 12F
→
05/13 12:22, , 13F
05/13 12:22, 13F
→
05/13 12:30, , 14F
05/13 12:30, 14F
推
05/13 12:31, , 15F
05/13 12:31, 15F
推
05/13 13:02, , 16F
05/13 13:02, 16F
→
05/13 13:35, , 17F
05/13 13:35, 17F
推
05/13 13:35, , 18F
05/13 13:35, 18F
→
05/13 13:36, , 19F
05/13 13:36, 19F
推
05/13 14:21, , 20F
05/13 14:21, 20F
→
05/13 14:22, , 21F
05/13 14:22, 21F
推
05/13 21:56, , 22F
05/13 21:56, 22F