RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 
 35  3/3  <  1  2  3 


 
主題: [新聞] [轉貼] WanaCrypt0r 2.0 大規模攻擊漏洞系統   字型大小:||| 
hentai_ojisan
銅驢友〔高級〕
等級: 10等級: 10等級: 10


十週年紀念徽章(四級)  

今日心情

 . 積分: 181
 . 文章: 312
 . 收花: 1568 支
 . 送花: 7449 支
 . 比例: 4.75
 . 在線: 540 小時
 . 瀏覽: 11060 頁
 . 註冊: 4622
 . 失蹤: 806
 . 新北市
#31 : 2017-5-16 11:00 PM     只看本作者 引言回覆

救援行動不樂觀,看來「想哭」團隊有想到這一點...

使用幾套Data Recovery軟體,是可以找到不少被刪除的檔案,但是檔名都是「nnnnnn.WNACRYT」(6位數字流水號)。

初步猜測,肉票會先被rename為「nnnnnn.WNACRYT」,然後加密後產生「原始檔名.副檔名.WNACRY」,接著刪除「nnnnnn.WNACRYT」。

因為朋友硬碟3TB HDD原始資料量超過容量50%,因此被刪除的檔案磁區(nnnnnn.WNACRYT)幾乎都已被新檔案(原始檔名.副檔名.WNACRY)覆蓋了...

但即使沒被覆蓋磁區,「nnnnnn.WNACRYT」要如何對應回「原始檔名.副檔名」,也是一件很難處理的作業...
(也還不知道「nnnnnn.WNACRYT」是不是就是肉票...)


引用:
hentai_ojisan寫到:
感謝提供資訊,這樣我就可以嘗試幫我朋友試試看是否可以恢復資料!


引用:
n725寫到:
http://disp.cc/b/163-9yMx

PTT有高手破解,不知真假,有中標的人可以試試
快速格式化-->Disk drill還原



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記
HAY
銀驢友〔初級〕
等級: 12等級: 12等級: 12


 . 積分: 426
 . 文章: 997
 . 收花: 3065 支
 . 送花: 2915 支
 . 比例: 0.95
 . 在線: 1401 小時
 . 瀏覽: 16920 頁
 . 註冊: 7940
 . 失蹤: 12
 . 南部
#32 : 2017-5-17 12:18 PM     只看本作者 引言回覆

首先備份已加密檔案、備份救援回來的檔案,
不要用已感染的硬碟開機,
統計有哪些檔案被加密,
比對已加密檔案 和 救援回來的檔案 的檔案大小,
依此來變更 救援回來的檔案的檔名,
如果真的是很重要的檔案才救,
不然重灌系統就好了

看看有沒有 已加密檔案 和 原始檔案,
可以上傳一下,看看是對檔案動了什麼手腳

[HAY 在  2017-5-17 12:22 PM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記
n725
銀驢友〔初級〕
等級: 12等級: 12等級: 12


十週年紀念徽章(五級)  

今日心情

 . 積分: 360
 . 文章: 647
 . 收花: 2606 支
 . 送花: 2387 支
 . 比例: 0.92
 . 在線: 2378 小時
 . 瀏覽: 65660 頁
 . 註冊: 7961
 . 失蹤: 0
#33 : 2017-5-25 04:42 PM     只看本作者 引言回覆

Downloading and Using the Trend Micro Ransomware File Decryptor
https://success.trendmicro.com/solution/1114221

[n725 在  2017-5-25 04:44 PM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記
popo60433
鑽石驢友〔初級〕
等級: 24等級: 24等級: 24等級: 24等級: 24等級: 24
NEET

今日心情

 . 積分: 7540
 . 文章: 6125
 . 收花: 68060 支
 . 送花: 9637 支
 . 比例: 0.14
 . 在線: 6950 小時
 . 瀏覽: 118462 頁
 . 註冊: 7186
 . 失蹤: 0
#34 : 2017-5-25 06:18 PM     只看本作者 引言回覆


引用:
n725寫到:
Downloading and Using the Trend Micro Ransomware File Decryptor
https://success.trendmicro.com/solution/1114221

[n725 在  2017-5-25 04:44 PM 作了最後編輯]


補充一下

Trend Micro 推出了一款 WannaCry 的解密工具Trend Micro Ransomware File Decryptor,可以讓你被 WannaCry 等勒索病毒加密了的檔案進行解密。

這個解密工具可以解密多個加密病毒,包括 CryptXXX V1, V2, V3*、TeslaCrypt V1**、TeslaCrypt V2**、TeslaCrypt V3、TeslaCrypt V4、SNSLocker、AutoLocky、BadBlock、777、XORIST、XORBAT、CERBER v1, Stampado, Nemucod, Chimera, LECHIFFRE, MirCop,Jigsaw, Globe/Purge, DXXD,Teamxrat/Xpan, Crysis, TeleCrypt, DemoTool, WannaCry(WCRY),而他們的副檔名分別是.crypt, .ECC, .VVV, CCC, ZZZ, AAA, ABC, XYZ, .XXX, TTT, MICRO, .RSNSLocked, .locky, .xorist, .crypted,.cerber,.locked, .crypted, .crypt, .LeChiffre, .xtbl, .dharma, .demoadc, WNCRY, WCRY


前提是不能重開機 因為是重RAM裡面撈檔案的 重開機後就無解



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記
hentai_ojisan
銅驢友〔高級〕
等級: 10等級: 10等級: 10


十週年紀念徽章(四級)  

今日心情

 . 積分: 181
 . 文章: 312
 . 收花: 1568 支
 . 送花: 7449 支
 . 比例: 4.75
 . 在線: 540 小時
 . 瀏覽: 11060 頁
 . 註冊: 4622
 . 失蹤: 806
 . 新北市
#35 : 2017-5-27 02:35 PM     只看本作者 引言回覆

感謝2位大大的提供與解釋。

但是趨勢科技也有點令人無言,中毒時不要重新開機才有機會復原檔案...印象中「想哭」不是發病後6天就會刪除所有檔案,所以對第一波中獎的人根本無用,只有後面中的人還有機會可以復原。

還有趨勢科技備註一點是在Win XP 32bit復原檔案的機率較高,其他Windows的復原機率相當低...

這該不會是用來挽救名聲的花拳繡腿工具?


引用:
popo60433寫到:

引用:
n725寫到:
Downloading and Using the Trend Micro Ransomware File Decryptor
https://success.trendmicro.com/solution/1114221

[n725 在  2017-5-25 04:44 PM 作了最後編輯]


補充一下

Trend Micro 推出了一款 WannaCry 的解密工具Trend Micro Ransomware File Decryptor,可以讓你被 WannaCry 等勒索病毒加密了的檔案進行解密。

這個解密工具可以解密多個加密病毒,包括 CryptXXX V1, V2, V3*、TeslaCrypt V1**、TeslaCrypt V2**、TeslaCrypt V3、TeslaCrypt V4、SNSLocker、AutoLocky、BadBlock、777、XORIST、XORBAT、CERBER v1, Stampado, Nemucod, Chimera, LECHIFFRE, MirCop,Jigsaw, Globe/Purge, DXXD,Teamxrat/Xpan, Crysis, TeleCrypt, DemoTool, WannaCry(WCRY),而他們的副檔名分別是.crypt, .ECC, .VVV, CCC, ZZZ, AAA, ABC, XYZ, .XXX, TTT, MICRO, .RSNSLocked, .locky, .xorist, .crypted,.cerber,.locked, .crypted, .crypt, .LeChiffre, .xtbl, .dharma, .demoadc, WNCRY, WCRY


前提是不能重開機 因為是重RAM裡面撈檔案的 重開機後就無解



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記

 35  3/3  <  1  2  3 
   



 



所在時區為 GMT+8, 現在時間是 2024-3-29 12:47 AM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.024397 second(s), 6 queries , Qzip disabled