該工具是針對Wannacrypt(俗稱:想哭)勒索軟件制作的恢復工具,並不是直接破解了加密算法,而是通過分析了該勒索軟件的工作原理之後,利用壹個特殊的手法實現的文件恢復。
目前Wannacrypt勒索軟件的大致工作流程是這樣的:
將原文件讀取到內存中完成加密,生成壹個加密文件,刪除原文件。
因此電腦中的原始文件其實並沒有直接被加密,而是被黑客刪除了,被加密的只是副本。
勒索軟件的加密原理:
壹般來說,主流的勒索病毒通常有兩種操作文件的方式,壹種是直接加密覆蓋原文件,這種情況下沒有勒索者的密鑰,幾乎是無法恢復的;另壹種則是先加密生成副本文件,然後刪除原文件,這種情況下是有可能恢復的。
但是,狡猾的勒索者通常會對文件進行深度處理,比如在刪除之前,用垃圾數據把原文件覆蓋壹遍,這時受害者用文件恢復的辦法,只能恢復出壹堆垃圾數據。
所幸的是,他們分析此次Wannacrypt勒索軟件時,發現它並沒有對原文件進行這樣的“深度處理”,而是直接刪除。這看來算是壹個比較低級的“失策”,而360此次正是利用了勒索者的“失策”,實現了部分文件恢復。
此次發布的工具是只針對Wannacrypt勒索軟件的,對於其他勒索病毒可能沒有用,同時也無法保證100%恢復所有文件,因為這涉及到原文件的存儲位置、數量、刪除時間和磁盤讀寫情況等因素。但即使如此,幫助人們搶救回壹些重要資料,救回來壹個是壹個。