歡迎報名參加滄者極限暨 HWBOT World Tour Taipei II 2017 Workshop @ 三創園區液態氮超頻工作坊點我前往

實際救援WannaCry加密的檔案 成功案例

本帖由 teinedni2017-05-14 發佈。版面名稱:新品資訊

標籤:
  1. teinedni

    teinedni 一般般會員

    註冊:
    2008-03-09
    文章:
    156
    讚:
    25
    WannaCry防範方式很多人寫過了,我這邊就不再另外補充
    但媒體口徑統一說被WannaCry加密後僅能重灌,這是錯誤的觀念
    ------------------------------------------------------------
    12號當天我就將為變種的WannaCry病毒模型建立起來
    初步分析病毒行為,WannaCry將檔案複製一份加密後移除原始檔案。
    只要硬碟還有剩餘空間,沒被嚴重複寫,基本上資料都可以救回來70~80%。
    ------------------------------------------------------------
    ※第一步
      當下朋友中標,打給我求救,我請他直接「斷電」
    因為他的電腦是RAID10架構,無法拔硬碟出來解
    所以我直接原機操作,使用WinPE開機
    將病毒先移除刪除
    (病毒路徑是隨機生成)
    %ProgramData%\{random}
    %ProgramData%\{random}\msg
    %ProgramData%\{random}\TaskData
    %ProgramData%\{random}\TaskData\Data
    %ProgramData%\{random}\TaskData\Data\Tor
    %ProgramData%\{random}\TaskData\Tor
    %All User Profile%\{random}\msg
    %All User Profile%\{random}\TaskData
    %All User Profile%\{random}\TaskData\Data
    %All User Profile%\{random}\TaskData\Data\Tor
    %All User Profile%\{random}\TaskData\Tor

    病毒名稱為
    1.taskse.exe(加密程式)
    2.taskdl.exe(刪除資源回收桶程式)
    3.@WanaDecryptor@(解密程式)

    ※第二步
      使用安全模式進入染毒作業系統
      關閉全部服務與開機常駐
      禁用系統還原
    ※第三步
      使用 救回誤刪檔案的程式,我這次操作是用Recuva
    安裝後開始撈資料, 能撈多少就撈多少嘍。
    ------------------------------------------------------------
    完成後我救回的檔案數量為 2.2TB/4TB
    磁碟為 2T*2 RAID 10,硬碟使用率為43%
    ------------------------------------------------------------
    希望透過這個案例來幫各位救回寶貴的資料
    如果不會操作的朋友,建議找訪間的資料救援公司
    並表示這顆硬碟遭加密,請依造我上面的流程操作
    救援公司幾乎都可以很完美的處理好
    但能救多少就要看天了
    ------------------------------------------------------------
    希望各位能把這篇轉載出去,讓大家知道中WannaCry非無解
    但換其他的加密病毒就不能保證可以用一樣的方式解決。
    ------------------------------------------------------------
    目前媒體與號稱3C達人關於病毒的消息
    有很多都是錯誤的觀念,建議大家不要亂信
    這次的解決方案其實很簡單
    1.安裝Windows patch
    2.如果沒用SMB功能直接關閉SMBv1(個人覺得很蠢)
    3.直接建立一個病毒的關閉 Flag,這個需要一點技術所以不建議一般人用這方式MsWinZonesCacheCounterMutexA
    ------------------------------------------------------------
    小小抱怨可以不用看
    現在只要有點知名度都可以稱得上3C達人?
    在發病前叫民眾不要更新,會出包後說誰叫你們不更新,只能重灌,沒有其解法。
    身為「3C達人」,不經查證更新出包的原因、病毒行為與攻擊模式
    一昧用刻板印象,灌輸錯誤觀念給使用者,非常不負責任的說法,非常不恥。
     
    已獲得 sonypk1987john801110lnchang2k另外 3 人的點讚。
  2. saab6212

    saab6212 一般般會員

    註冊:
    2011-02-04
    文章:
    180
    讚:
    2
    感謝teinedni大的方案
    想請問teinedni大大,這招對付同樣也是Crypt的ThunderCrypt也適用嗎?
     
  3. litfal

    litfal 進階會員

    註冊:
    2007-03-12
    文章:
    231
    讚:
    1
    一般家用環境,躲在Router後面相對安全
    最大的感染地應該是

    1. 學校,那個複雜的區網、外加一堆更新重開機會打擾玩game、所以把自動更新關掉的學生 XD
    2. 躲在區網後面不太外連,也沒定時推送patch的公司行號。只要有一台中標、或是中標的筆電連進來就顆顆。

    MIS星期一應該要提早上班,先把port 137-139 / 445關掉,然後檢查有沒有哪個單位沒有打patch的...
     
    已獲得 saab6212 的點讚。
  4. n9797

    n9797 一般般會員

    註冊:
    2012-12-15
    文章:
    77
    讚:
    3
    最近這個病毒非常火紅,相信危害非常大(台灣被中毒危害牌世界第三)

    威力有點強,網路普及率高的關係麻
     
  5. Adolrs25

    Adolrs25 進階會員

    註冊:
    2011-03-20
    文章:
    205
    讚:
    3
  6. cisco2012

    cisco2012 高級會員

    註冊:
    2010-07-20
    文章:
    904
    讚:
    5
    事實上!! 更新一台 2台 廠區 2000多台 ad 派送下wsus 雖然很快 不過也是需要一點時間!!

    網路很少有 網路安全的觀點!!

    小弟來分享一點點的解決的觀點!!

    大型企業 的範例 直接先在 端點 雙重 防火牆 UTM 下 啟動 ( 虛擬網段 )
    針對 windows 行為模式 來阻擋 (以下是 ~舉例~)
    光這點 就有11條 其他家可能會更多~越多是越好~對安全的定義就是~沒有任何是絕對安全~
    也是可以加上dns阻擋不過效率不好~!影響設備負荷量~!!建議可有可無!!
    必去先去阻擋!! 內外 外內 都是一樣的阻擋 不用在刻意去檔port (對資深網路管理人員來講_很蠢~)

    接下來 L3 加上 windows 協定的判斷 .......很多都是需要經驗!! 網路權限啟動階段存取功能!!

    封包紀錄器 提高 優先權設定!!

    最後才是 個人pc更新!!

    (畢竟~安全網路~需要的是~有專人來維護~靠著團隊下來解決 ~以上 只是單純的分享~)
    台灣很多企業都是很被動的~反正沒事就好~

    Windows.File.Sharing/SMB_Create.Directory Storage.Backup Client-Server
    Excessive-Bandwidth
    Windows.File.Sharing/SMB_Create.File Storage.Backup Client-Server
    Excessive-Bandwidth
    Windows.File.Sharing/SMB_Delete.Directory Storage.Backup Client-Server
    Excessive-Bandwidth
    Windows.File.Sharing/SMB_Delete.File Storage.Backup Client-Server
    Excessive-Bandwidth
    Windows.File.Sharing/SMB_Download.Executable.File Storage.Backup Client-Server
    Excessive-Bandwidth
    Windows.File.Sharing/SMB_Open.Directory Storage.Backup Client-Server
    Excessive-Bandwidth
    Windows.File.Sharing/SMB_Print.File Storage.Backup Client-Server
    Excessive-Bandwidth
    Windows.File.Sharing/SMB_Read.File Storage.Backup Client-Server
    Excessive-Bandwidth
    Windows.File.Sharing/SMB_Write.Executable.File Storage.Backup Client-Server
    Botnet
     
    #6 cisco2012, 2017-05-16
    最後編輯: 2017-05-16

分享此頁面

正在閱讀此主題 (用戶: 0, 訪客: 0)