安天已经针对勒索蠕虫 “魔窟”(WannaCry)陆续发布了全面分析报告、开机指南、和两份FAQ,以及相关的专杀与免疫工具,对已经感染了病毒的用户,安天有如下重要建议。
如果该病毒已经发作,且有重要文件被加密,请用户不要惊慌,马上关机保存好硬盘,找到专业机构或者使用专业工具对硬盘进行数据恢复。尽管被魔窟蠕虫加密过的多数文件,目前依然是没有解密方法的,但有可能用数据恢复的方式找到被魔窟蠕虫删除过的加密前原始文件。注意,此时不要让系统继续运行,更不要在已经染毒的当前系统中运行各种数据恢复工具,因为系统运行时进行的各种写操作,都可能进一步降低文件恢复的成功率。
安天CERT工程师经过分析判定,蠕虫将未加密的原始文件移动到%Temp%目录下,并把文件名改为数字,并修改扩展名为.WNCRYT,并会移动两次,从攻击者的意图来看,可能是使恢复工具恢复出的文件不在原始目录下,且与原命名不符,导致被用户忽略放弃。加密进行的同时,则不断删除临时目录文件。这就使被加密文件可能存在一份在临时目录下所占用扇区尚未被覆盖的“原件”。同时,魔窟蠕虫的加密文件写入,并不一定会覆盖掉被删除文件对应的扇区,因此具有数据恢复的可能性,已经有部分勒索软件会直接用加密文件覆盖对应扇区,导致无法恢复。“魔窟”当前版本尚无这一特性。
由于安天数年前已经停止了“安天敏捷恢复”的维护,因此不推荐用户使用这款工具进行恢复,用户可以找专业数据恢复机构进行处理,也可以选择用恢复工具如R-Studio、FinalData、FileRecovery,或免费工具TestDisk、Recuva、PhotoRec等进行恢复尝试。友商360针对此次事件也发布了恢复工具。普通用户建议在专业用户指导下使用各种数据恢复工具。
附录:数据恢复有关小知识
我们知道,电脑中的文件都存在于硬盘上,其实硬盘的文件系统中有一个非常重要的用来记录文件所在位置的表格,叫做文件分配表FAT(File Allocation Table)。当我们写入一个新文件的时候,操作系统会在文件分配表中找到一个足够存放该文件的空间,然后将文件数据写到磁盘上,并在文件分配表中标记出该位置已被该文件占用。当删除一个文件的时候,为了提高执行效率并减少磁盘损耗,操作系统只是在文件分配表中标记该位置被释放,但并没有对磁盘上对应区域的数据重写,这就是为什么数据恢复软件可以找到已经删除的文件并且恢复出来。我们可以通过扫描文件分配表恢复出已经被删除的文件(有正确的文件名),也可以通过对磁盘全部数据区域进行扫描,利用已知文件格式的文件头特征,识别出对应的文件数据区域,恢复出文件(没有正确的文件名,但文件内容正常)。
但是,如果一个文件被删除以后,有新的文件写入,就存在新文件写入到之前已删除文件的磁盘区域,造成文件数据的部分或全部被覆盖,这种情况下,就无法恢复之前的文件了。按WannaCry勒索蠕虫的执行逻辑,加密后生成的文件不会覆盖掉原文件本身,但是下一个或第N个被加密的文件,有可能会覆盖之前已经被删除的其他原文件,造成该文件部分损坏或完全不可恢复。但是现在的电脑硬盘都比较大,而一般文档和照片都很小,所以还是存在一定恢复的可能,具体是否能恢复出最重要的那些文件,真的就是看人品了。
数据恢复是一个专门的技术领域,相关方法和工具的使用需要一定基础知识。安天也对数据恢复技术进行了跟踪研究,并且曾经小范围发布过自研的数据恢复软件“敏捷恢复”,但由于这是一个特别细分的领域,专注于威胁检测防御的我们无法按照产品水准持续跟进维护,因此最终还是放弃了这款工具的持续更新,而只为核心客户提供应急、取证等场景的数据恢复服务。
安天关于#勒索者蠕虫病毒WannaCry#跟进时间表
(截止到2017年5月15日0点):
2017年5月12日20:20,决定将此前的相关漏洞A级预警,升级为A级灾难响应。
2017年5月12日 22:45 经过测试验证,安天智甲终端防御系统,无需升级即可有效阻断WannaCry的加密行为,安天探海威胁检测系统可以检出WannaCry的扫描包(需要升级到最新特征库)。
2017年5月13日06:00发布分析报告
2017年05月14日 05时22分 更新
《安天紧急应对新型“蠕虫”式勒索软件“WannaCry”全球爆发》 http://www.antiy.com/response/wannacry.html
综合深度分析该事件、运行流程、解决方案、结论等,微信公众号阅读量在一天之内突破31万。
2017年5月13日17:25发布 《安天应对勒索软件“WannaCry”配置指南》 http://www.antiy.com/response/Antiy_Wannacry_Protection_Manual/Antiy_Wannacry_Protection_Manual.html 详细的处理流程和配置方法
2017年5月13日17:45发布 《安天应对勒索者蠕虫病毒WannaCry FAQ》 http://www.antiy.com/response/Antiy_Wannacry_FAQ.html
针对大量用户的高频问题进行回复
2017年5月13日19:03 安天发布蠕虫病毒WannaCry免疫工具和扫描工具 下载地址为:http://www.antiy.com/tools.html
2017年5月14日5:00发布 《安天应对勒索软件“WannaCry”开机指南》“拒绝刷屏,一份搞定” http://www.antiy.com/response/Antiy_Wannacry_Guide.html
2017-05月14日 15:00 CNCERT推荐使用安天免疫和专杀工具应对勒索病毒:http://www.cverc.org.cn/yubao/yubao_727.htm
2017年5月14日 17:00,国家网信办网络安全检查共享平台推荐使用安天自查与免疫工具
2017年5月14日18:00,公安部共享平台推荐使用安天自查与免疫工具
2017年,5月14日18:44安天和友商应急团队联合讨论,最终将此蠕虫病毒中文俗名确定为“魔窟”。
2017年,5月14日 19:00 发布安天智甲防勒索免费版
2017年,5月14日20:00 安天继续发布免疫工具V1.2+专杀工具V1.4+智甲防勒索免费版V1.0
安天
安天是专注于威胁检测防御技术的领导厂商。安天以提升用户应对网络威胁的核心能力、改善用户对威胁的认知为企业使命,依托自主先进的威胁检测引擎等系列核心技术和专家团队,为用户提供端点防护、流量监测、深度分析、威胁情报和态势感知等相关产品、解决方案与服务。
全球近百家著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、超过六亿部手机提供安全防护。安天移动检测引擎是全球首个获得AV-TEST年度奖项的中国产品。
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案。
安天实验室更多信息请访问:
http://www.antiy.com(中文)
http://www.antiy.net(英文)
安天企业安全公司更多信息请访问:
http://www.antiy.cn
安天移动安全公司(AVL TEAM)更多信息请访问:
http://www.avlsec.com