WannaCry 將你的重要檔案全加密了!?有網民聲稱找到救檔方法!

萬一你不幸地的電腦中了勒索軟件 WannaCry,大家總會聯想到你的檔案將會永遠從你的視線中消失,但請別將電腦格式化,日前有台灣網民卻聲稱找到方法,將檔案救回。



網民 jason057241 在台灣的巴哈姆特討論區分享一篇文章,文章作者聲稱透過建立 WannaCry 勒索軟件的病毒模型之後,卻發現 WannaCry 有一個破碇,就是會將檔案加密之後,把原始檔案移除。原理就像用 WinRAR 壓縮檔案的時候選擇刪除原始檔案一樣。換言之只要你的硬碟剩餘空間甚多,檔案原本的位置沒有重覆寫入,就算中了 WannaCry 檔案還有得救。

WannaCry 加密檔案流程有破碇!中招仍有救!

他舉出一個例子,他有朋友的 Windows 的電腦中了招,第一步是盡快「斷電」,避免檔案因為覆寫而消乏,但因為電腦內硬碟以 RAID 10 分割,不能拆開硬碟救,所以他利用 Windows PE 開機,先將在 %ProgramData% 和 %All User Profile% 內的病毒檔案移除。之後重新開機使用安全模式進入感染 WannaCry 的電腦系統,關閉全部服務、開機啟動項目和系統還原,再用 Recuva 之類的檔案回復軟件進行回復,最後成功救回 2TB 的檔案。

當然上述方法是否有效,還是要看硬碟內的檔案是否被覆寫,而且作者沒有發放任何檔案回復的照片,無圖無真相,這個方法是否真的有效仍然需要證明。

如果硬碟空間夠多,沒有太多覆寫的話,就算中 WannaCry 也能透過像 Recuva 的軟件回復檔案。

在同一文章之中作者還分享了更多預防的方法,包括安裝 Windows Patch、直接關閉 SMBv1、動手建立病毒關閉 flag、甚至將檔案放入 WannaCry 病毒不會攻擊的資料夾等等。

本站 MeWe Page - Apple User Club 正式成立!網站、FB 不會說的內容都會在 MeWe 說!

限免已完結?不想錯過重大限免應用,可下載《限時情報王》 App 或以 Telegram 追蹤 NewMobilelife 頻道