McAfee研究人员测试Wannacry恢复方法
区块链“智能合同”可能会花费百万的投资者
GDS需要更清晰的角色,预计会说nao
一次性机器人可以冲刺,飞行和潜在的拯救生命
NHS IT集团用灵活的闪存和ZERTO灾难恢复改装
Facebook希望与新的翻译工具打破语言障碍
NCSC说,英国可能面临国家网络紧急情况
在首席执行官Fadell Leavel之后,谷歌的巢可能成为一种不同的IOT公司
亚马逊的弹性文件系统现在为企业开放
HMRC承包商留在IR35裁决内部
Pivot3推出了NVME闪光灯和QoS的Acuity Hyper-Groud
HPE希望以光速移动计算机之间的数据
瞻博网络吹捧自动的“自动驾驶网络”
德克萨斯州与18-petaflop超级计算机一起变大
面试:Claude Moraes,MEP和欧盟公民自由委员会主席
微软面临500万美元的Windows 10升级
LIB DEMS迪尔迪拉尼监督计划暴露在泄露的文件中
Intel Pits Monster 72核心Xeon Phi Chip对抗GPU
2017年新加坡的IT薪水增长3.2%
俄罗斯网络间谍活动亮点需要提高电子邮件安全性
外包水市场系统启动和运行
HMRC海关IT系统的财政部委员会的信心崩溃'
PAC说,皇冠商业服务未能实现其潜力
Gatwick推出增强现实机场导航
技术乔布斯报告:安全,DevOps和大数据保持热
小米在美国入境计划之前收购微软的专利
威胁在沙特阿拉伯的网络部门增长
Facebook,Google,Twitter被巴黎恐怖受害者的父亲起诉
参议院小组选票削弱了网络中立规则
赛门铁克买蓝色外套的5个原因
CIO采访:Martin Hofmann,大众网集团
NHS Digital拾取了无纸体医疗保健的速度
几乎四分之一的英国和美国公司可能会错过GDPR截止日期
宝马与英特尔,移动式队伍,将自行车自行车到2021年
ContainerX推出了新的企业集装箱平台
AI如何增强用户体验并提高生产力
英国警方说,合作是打击网络犯罪的关键
荷兰制造商转向SDN,以节省30%的网络成本
东盟企业面临行动障碍
NHS推出项目以提高数字健康技术技能
红帽加深了与AWS的伙伴关系
尼古拉电机为2,000小时电动半拖车卡车获得2.3亿美元的预订
Barts NHS信任随着持续的,周长IT系统崩溃
纯存储提供了一种升级闪存阵列的新方法
思科买了SDN Business Viptela
报告称,欧盟和美国达到数据转账交易
ACLU诉讼挑战美国电脑黑客法
三星支付终于击中了英国
人们呈现出最大的挑战,说Infosec专业人士
Goznym Trojan在美国主要银行的业务账户中转动了它的景点
您的位置:首页 >产品 > 人工智能 >

McAfee研究人员测试Wannacry恢复方法

2021-07-07 19:44:17 [来源]:

为了应对卫生赎金卫生厂背后的那些明显失败,以向选修赎金支付赎金的受害者的解密钥匙,迈克菲研究人员已经测试了一种潜在的恢复方法。

研究人员首席科学家Raj Samani领导,首席科学家,研究人员已经开发了一种实验恢复方法,可用于恢复文件 - 尽管具有混合结果。

McAfee研究人员使用了一个名为“file carving”的文件恢复方法来恢复Wannacry加密数据。在测试期间,某些情况导致几乎完全恢复,而其他案例则效果较低。

该方法为受害者提供了一个选择恢复数据的选项,但Samani和研究人员Christianan Beek和Charles McFarland如果事情不按预期运行,他们也不承担任何责任。

“在我们的测试中,我们有一些案例在恢复几乎完全康复和其他地方,其中几乎是零的零点,”他们说。“变量的数量太详尽了,无法列出,但如果备份不起作用,那么它比对您的数据说再见更好。”

在实验恢复方法的核心,是一种称为“文件雕刻”或简单地雕刻的技术,这是从较大数据集中提取数据集合的过程。

当分析未分配的文件系统空间以提取文件时,数据雕刻技术通常会发生在数字调查中。研究人员说,使用文件类型的标题和页脚值,从未分配的空间“雕刻”文件。

然而,他们强调文件恢复技术与雕刻之间存在很大差异。

虽然文件恢复技术利用删除文件后保留的文件系统信息,但雕刻处理媒体上的原始数据,并且在其过程中不使用文件系统结构。

调查Wannacry代码,研究团队注意到,一旦编写了加密文件,原始文件将被覆盖,并调用FlushBuffersFile。

在监视RansomWare加密时,研究人员观察到在某些操作系统上,除了加密文件之外,原始文件仍然存在,稍后删除原始文件。

对于测试,研究人员使用了运行Windows 7的32位计算机。然后,它们使用从USB棒执行的恢复工具Photorec使用写保护来为原始文件捕捉磁盘的可用空间。

连接USB棒时,研究人员警告赎金软件仍然是活动的,并将搜索和加密它支持的扩展,这就是他们使用写保护的USB棒的原因。

通过使用勒索软件使用“白名单”区域,研究人员创建了用于存储恢复文件的目录C:/ Windows /转储。

在选择测试文件的适当文件类型之后,研究人员表示只需几分钟即可确定他们能够从磁盘的可用空间中恢复“原始”文件。

他们重新强调,任何使用雕刻工具如photorec的任何人都应该意识到这种技术可能涉及的风险,并且他们以自己的风险为此。

研究人员发现,通过在USB棒上创建一个名为“Windows”的文件夹并将Photorec指向此文件夹作为恢复转储,因此ransomware未触摸该文件夹,因为$ drive / windows文件夹是由它的白名单。

研究人员表示,他们无法验证每个受影响的MS17-110更新的操作系统。他们说,在某些情况下,没有删除卷影副本。因此,他们能够将原始文件雕刻出来。

他们说,没有删除彩色索波的原因之一是,他们没有用用户账户控制(UAC)权利,他们所说的一个发现也由欧盟网络局恩萨观察到。

如果卷影副本仍然存在于系统上,则可以从中恢复文件。这可以通过打开命令提示符(以管理员)并键入命令来验证这一点:vssadmin列表阴影。这将列出您的影子副本。

一旦从系统中删除了ransomware,研究人员表示组织可以从这些副本恢复或使用第三方工具来浏览影子复制文件并从中检索inpidual文件。

由于它们对不同平台的结果混合了,因此研究人员表示,如果没有可用备份,组织至少可以尝试恢复文件。

虽然这个赎金瓶的影响处于前所未有的规模,但研究人员表示,由于缺乏对罪犯的付款缺乏付款。

“虽然我们将尽一切努力打击勒索软件,但我们不能单独做到这一点,并需要你们每个人都在不再赎金中遵循预防建议,也让犯罪分子知道我们不会支付,”研究人员说。

没有更多的赎金是一个在线门户网站,旨在帮助oransomwareto的受害者恢复他们的数据,并告知公众关于赎金软件的危险。它被迈克菲(前身英特尔安全),荷兰国家警察,欧洲欧洲奥罗兰·安卡斯基实验室始于联合倡议。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。