昨天中午,正想着到底wannacry是什么东西这么骇人听闻,这病毒到底有多厉害,就收到同学发的wannacry病毒样本,决定亲自调试一下。一轮调戏过后,不但一点没有cry的意思,甚至还觉得很可笑。
这届黑客不行吖!
作为一个病毒,不设置开机启动,加密文件只先把初始文件改名然后简单删除,也不重写文件……就换个桌面,加入各种语言版本,看起来吓人,但是对人民币玩家,构不成多大的威胁……
收到同学病毒样本后,我开了个之前扔在一边的xp虚拟机玩一下。一开始运行病毒后,那个熟悉的界面没有马上弹出来,我只看到硬盘里面多了很多wncry?结尾的文件,然后先睡觉不管他了……小憩一下之后,看到了那个熟悉的界面,并且硬盘中的zip,rar,doc等文件被更名加密了,是真的加密,打开是乱码。要吐槽的是,作为一个敬业的病毒,竟然没把cdr等图片文件加密,这是看不起设计、机械等要制图的同学么?
然后,下了个360,然并卵,在我后面实验打开病毒程序的时候,360一点反应都没有,而是不断地提醒我安装补丁、清理垃圾、进行开机优化……还是我打开方式不对?
我开始猜想病毒的工作方式,文件的确是加密了,但是原文件他是重写呢还是删除呢?我觉得如果我是黑客,我肯定会重写一下原文件,起码稍微擦写一下文件头部分吧。基于好奇心,我还是先尝试一下数据恢复,看能不能找到什么东西吧。抱着试试看的态度,我先用免费的轻量级数据恢复软件扫一下磁盘,如软媒魔方的魔方数据恢复,或者360的文档恢复,(恢复到未被感染的硬盘或者U盘)。然后!!!竟然找到一堆“数字.wncryt”的文件!短暂地激动过后,我冷静下来:说不定是加密的中间文件呢,虽然找到但还是打不开呀,而且也重命名了找不到索引。要怎么办呢?
然而一点点的小问题怎么会对我机智的头脑造成困扰呢?不一会儿我就想到了一个可能的办法:把文件大小相似的两个文件对应起来,看看能不能打开wncryt文件并正确配对?
重磅!震惊!竟然成功了!那再趁热打铁,试试另外的文件?
打开文件的那一瞬间,感觉自己可牛逼了哈哈哈!忍不住开了包辣条庆祝一下~
but!作为一个有完美主义倾向的人,文件名这么乱,还是很不爽呀,如果文件多的话很麻烦(毕竟我这虚拟机里面只有少量文件)然后我就用diskgenius这种专业软件尝试去恢复文件,发现扫描出来的文件是可以看到文件名的!可以看到文件名!然而恢复的时候要注册,而我这种吃土少年买不起……
最后用另一个祖传的反正也是要收费的软件恢复了一下,发现也是能恢复出带文件名的文件的,果然rmb玩家就是不一样……
可把我牛逼坏了~(双手叉腰)
如果真的急着恢复论文或其他重要文件的小伙伴,应该不会在乎那几十块钱吧(这可比300刀的比特币便宜多了),所以,如果中毒后想恢复文件,请支持正版数据恢复软件,无论什么时候还是很有用的~
看来这届黑客真的有点懒~ You want me to cry, but I wanna laugh~
p.s.跟同学说了之后有人表示,作为一个病毒,最重要的就是快,加密已经很费时间了,如果还把原文件擦写一次的话,可能就被干掉了,所以直接改文件名并删除是最好的方法。毕竟,大多数都还是小白不像我这样这么无聊去找病毒折腾……希望我这篇文章能给不幸中毒的人一点帮助吧。
