重點文章
萬一你不幸地的電腦中了勒索軟件 WannaCry,大家總會聯想到你的檔案將會永遠從你的視線中消失,但請別將電腦格式化,日前有台灣網民卻聲稱找到方法,將檔案救回。
網民 jason057241 在台灣的巴哈姆特討論區分享一篇文章,文章作者聲稱透過建立 WannaCry 勒索軟件的病毒模型之後,卻發現 WannaCry 有一個破碇,就是會將檔案加密之後,把原始檔案移除。原理就像用 WinRAR 壓縮檔案的時候選擇刪除原始檔案一樣。換言之只要你的硬碟剩餘空間甚多,檔案原本的位置沒有重覆寫入,就算中了 WannaCry 檔案還有得救。
WannaCry 加密檔案流程有破碇!中招仍有救!
他舉出一個例子,他有朋友的 Windows 的電腦中了招,第一步是盡快「斷電」,避免檔案因為覆寫而消乏,但因為電腦內硬碟以 RAID 10 分割,不能拆開硬碟救,所以他利用 Windows PE 開機,先將在 %ProgramData% 和 %All User Profile% 內的病毒檔案移除。之後重新開機使用安全模式進入感染 WannaCry 的電腦系統,關閉全部服務、開機啟動項目和系統還原,再用 Recuva 之類的檔案回復軟件進行回復,最後成功救回 2TB 的檔案。
當然上述方法是否有效,還是要看硬碟內的檔案是否被覆寫,而且作者沒有發放任何檔案回復的照片,無圖無真相,這個方法是否真的有效仍然需要證明。
在同一文章之中作者還分享了更多預防的方法,包括安裝 Windows Patch、直接關閉 SMBv1、動手建立病毒關閉 flag、甚至將檔案放入 WannaCry 病毒不會攻擊的資料夾等等。
