McAfee研究人员测试Wannacry恢复方法
为了应对卫生赎金卫生厂背后的那些明显失败,以向选修赎金支付赎金的受害者的解密钥匙,迈克菲研究人员已经测试了一种潜在的恢复方法。
研究人员首席科学家Raj Samani领导,首席科学家,研究人员已经开发了一种实验恢复方法,可用于恢复文件 - 尽管具有混合结果。
McAfee研究人员使用了一个名为“file carving”的文件恢复方法来恢复Wannacry加密数据。在测试期间,某些情况导致几乎完全恢复,而其他案例则效果较低。
该方法为受害者提供了一个选择恢复数据的选项,但Samani和研究人员Christianan Beek和Charles McFarland如果事情不按预期运行,他们也不承担任何责任。
“在我们的测试中,我们有一些案例在恢复几乎完全康复和其他地方,其中几乎是零的零点,”他们说。“变量的数量太详尽了,无法列出,但如果备份不起作用,那么它比对您的数据说再见更好。”
在实验恢复方法的核心,是一种称为“文件雕刻”或简单地雕刻的技术,这是从较大数据集中提取数据集合的过程。
当分析未分配的文件系统空间以提取文件时,数据雕刻技术通常会发生在数字调查中。研究人员说,使用文件类型的标题和页脚值,从未分配的空间“雕刻”文件。
然而,他们强调文件恢复技术与雕刻之间存在很大差异。
虽然文件恢复技术利用删除文件后保留的文件系统信息,但雕刻处理媒体上的原始数据,并且在其过程中不使用文件系统结构。
调查Wannacry代码,研究团队注意到,一旦编写了加密文件,原始文件将被覆盖,并调用FlushBuffersFile。
在监视RansomWare加密时,研究人员观察到在某些操作系统上,除了加密文件之外,原始文件仍然存在,稍后删除原始文件。
对于测试,研究人员使用了运行Windows 7的32位计算机。然后,它们使用从USB棒执行的恢复工具Photorec使用写保护来为原始文件捕捉磁盘的可用空间。
连接USB棒时,研究人员警告赎金软件仍然是活动的,并将搜索和加密它支持的扩展,这就是他们使用写保护的USB棒的原因。
通过使用勒索软件使用“白名单”区域,研究人员创建了用于存储恢复文件的目录C:/ Windows /转储。
在选择测试文件的适当文件类型之后,研究人员表示只需几分钟即可确定他们能够从磁盘的可用空间中恢复“原始”文件。
他们重新强调,任何使用雕刻工具如photorec的任何人都应该意识到这种技术可能涉及的风险,并且他们以自己的风险为此。
研究人员发现,通过在USB棒上创建一个名为“Windows”的文件夹并将Photorec指向此文件夹作为恢复转储,因此ransomware未触摸该文件夹,因为$ drive / windows文件夹是由它的白名单。
研究人员表示,他们无法验证每个受影响的MS17-110更新的操作系统。他们说,在某些情况下,没有删除卷影副本。因此,他们能够将原始文件雕刻出来。
他们说,没有删除彩色索波的原因之一是,他们没有用用户账户控制(UAC)权利,他们所说的一个发现也由欧盟网络局恩萨观察到。
如果卷影副本仍然存在于系统上,则可以从中恢复文件。这可以通过打开命令提示符(以管理员)并键入命令来验证这一点:vssadmin列表阴影。这将列出您的影子副本。
一旦从系统中删除了ransomware,研究人员表示组织可以从这些副本恢复或使用第三方工具来浏览影子复制文件并从中检索inpidual文件。
由于它们对不同平台的结果混合了,因此研究人员表示,如果没有可用备份,组织至少可以尝试恢复文件。
虽然这个赎金瓶的影响处于前所未有的规模,但研究人员表示,由于缺乏对罪犯的付款缺乏付款。
“虽然我们将尽一切努力打击勒索软件,但我们不能单独做到这一点,并需要你们每个人都在不再赎金中遵循预防建议,也让犯罪分子知道我们不会支付,”研究人员说。
没有更多的赎金是一个在线门户网站,旨在帮助oransomwareto的受害者恢复他们的数据,并告知公众关于赎金软件的危险。它被迈克菲(前身英特尔安全),荷兰国家警察,欧洲欧洲奥罗兰·安卡斯基实验室始于联合倡议。