實際救援WannaCry加密的檔案 成功案例

teinedni

一般般會員
已加入
3/9/08
訊息
163
互動分數
35
點數
28
WannaCry防範方式很多人寫過了,我這邊就不再另外補充
但媒體口徑統一說被WannaCry加密後僅能重灌,這是錯誤的觀念
------------------------------------------------------------
12號當天我就將為變種的WannaCry病毒模型建立起來
初步分析病毒行為,WannaCry將檔案複製一份加密後移除原始檔案。
只要硬碟還有剩餘空間,沒被嚴重複寫,基本上資料都可以救回來70~80%。
------------------------------------------------------------
※第一步
  當下朋友中標,打給我求救,我請他直接「斷電」
因為他的電腦是RAID10架構,無法拔硬碟出來解
所以我直接原機操作,使用WinPE開機
將病毒先移除刪除
(病毒路徑是隨機生成)
%ProgramData%\{random}
%ProgramData%\{random}\msg
%ProgramData%\{random}\TaskData
%ProgramData%\{random}\TaskData\Data
%ProgramData%\{random}\TaskData\Data\Tor
%ProgramData%\{random}\TaskData\Tor
%All User Profile%\{random}\msg
%All User Profile%\{random}\TaskData
%All User Profile%\{random}\TaskData\Data
%All User Profile%\{random}\TaskData\Data\Tor
%All User Profile%\{random}\TaskData\Tor

病毒名稱為
1.taskse.exe(加密程式)
2.taskdl.exe(刪除資源回收桶程式)
3.@WanaDecryptor@(解密程式)

※第二步
  使用安全模式進入染毒作業系統
  關閉全部服務與開機常駐
  禁用系統還原
※第三步
  使用 救回誤刪檔案的程式,我這次操作是用Recuva
安裝後開始撈資料, 能撈多少就撈多少嘍。
------------------------------------------------------------
完成後我救回的檔案數量為 2.2TB/4TB
磁碟為 2T*2 RAID 10,硬碟使用率為43%
------------------------------------------------------------
希望透過這個案例來幫各位救回寶貴的資料
如果不會操作的朋友,建議找訪間的資料救援公司
並表示這顆硬碟遭加密,請依造我上面的流程操作
救援公司幾乎都可以很完美的處理好
但能救多少就要看天了
------------------------------------------------------------
希望各位能把這篇轉載出去,讓大家知道中WannaCry非無解
但換其他的加密病毒就不能保證可以用一樣的方式解決。
------------------------------------------------------------
目前媒體與號稱3C達人關於病毒的消息
有很多都是錯誤的觀念,建議大家不要亂信
這次的解決方案其實很簡單
1.安裝Windows patch
2.如果沒用SMB功能直接關閉SMBv1(個人覺得很蠢)
3.直接建立一個病毒的關閉 Flag,這個需要一點技術所以不建議一般人用這方式MsWinZonesCacheCounterMutexA
------------------------------------------------------------
小小抱怨可以不用看
現在只要有點知名度都可以稱得上3C達人?
在發病前叫民眾不要更新,會出包後說誰叫你們不更新,只能重灌,沒有其解法。
身為「3C達人」,不經查證更新出包的原因、病毒行為與攻擊模式
一昧用刻板印象,灌輸錯誤觀念給使用者,非常不負責任的說法,非常不恥。
 

saab6212

進階會員
已加入
2/4/11
訊息
213
互動分數
5
點數
18
感謝teinedni大的方案
想請問teinedni大大,這招對付同樣也是Crypt的ThunderCrypt也適用嗎?
 

litfal

進階會員
已加入
3/12/07
訊息
238
互動分數
1
點數
18
一般家用環境,躲在Router後面相對安全
最大的感染地應該是

1. 學校,那個複雜的區網、外加一堆更新重開機會打擾玩game、所以把自動更新關掉的學生 XD
2. 躲在區網後面不太外連,也沒定時推送patch的公司行號。只要有一台中標、或是中標的筆電連進來就顆顆。

MIS星期一應該要提早上班,先把port 137-139 / 445關掉,然後檢查有沒有哪個單位沒有打patch的...
 
  • Like
Reactions: saab6212

n9797

一般般會員
已加入
12/15/12
訊息
84
互動分數
3
點數
8
最近這個病毒非常火紅,相信危害非常大(台灣被中毒危害牌世界第三)

威力有點強,網路普及率高的關係麻
 

cisco2012

高級會員
已加入
7/20/10
訊息
997
互動分數
14
點數
38
事實上!! 更新一台 2台 廠區 2000多台 ad 派送下wsus 雖然很快 不過也是需要一點時間!!

網路很少有 網路安全的觀點!!

小弟來分享一點點的解決的觀點!!

大型企業 的範例 直接先在 端點 雙重 防火牆 UTM 下 啟動 ( 虛擬網段 )
針對 windows 行為模式 來阻擋 (以下是 ~舉例~)
光這點 就有11條 其他家可能會更多~越多是越好~對安全的定義就是~沒有任何是絕對安全~
也是可以加上dns阻擋不過效率不好~!影響設備負荷量~!!建議可有可無!!
必去先去阻擋!! 內外 外內 都是一樣的阻擋 不用在刻意去檔port (對資深網路管理人員來講_很蠢~)

接下來 L3 加上 windows 協定的判斷 .......很多都是需要經驗!! 網路權限啟動階段存取功能!!

封包紀錄器 提高 優先權設定!!

最後才是 個人pc更新!!

(畢竟~安全網路~需要的是~有專人來維護~靠著團隊下來解決 ~以上 只是單純的分享~)
台灣很多企業都是很被動的~反正沒事就好~

Windows.File.Sharing/SMB_Create.Directory Storage.Backup Client-Server
Excessive-Bandwidth
Windows.File.Sharing/SMB_Create.File Storage.Backup Client-Server
Excessive-Bandwidth
Windows.File.Sharing/SMB_Delete.Directory Storage.Backup Client-Server
Excessive-Bandwidth
Windows.File.Sharing/SMB_Delete.File Storage.Backup Client-Server
Excessive-Bandwidth
Windows.File.Sharing/SMB_Download.Executable.File Storage.Backup Client-Server
Excessive-Bandwidth
Windows.File.Sharing/SMB_Open.Directory Storage.Backup Client-Server
Excessive-Bandwidth
Windows.File.Sharing/SMB_Print.File Storage.Backup Client-Server
Excessive-Bandwidth
Windows.File.Sharing/SMB_Read.File Storage.Backup Client-Server
Excessive-Bandwidth
Windows.File.Sharing/SMB_Write.Executable.File Storage.Backup Client-Server
Botnet
 
最後編輯: