從5月12日爆發(fā)至今，名為WannaCry的勒索病毒讓全球數(shù)十萬Windows計算機中招，黑客將用戶計算機中的重要文件實施加密，并索要贖金解鎖。這種情況如果發(fā)生在企業(yè)服務器當中，那么將帶來嚴重損失。

對此，阿里云安全團隊經(jīng)過不懈努力研究，終于找到解救被WannaCry病毒劫持的計算機的辦法。

5月20日，阿里云安全團隊向云上、云下服務器用戶開放勒索病毒“一鍵解密和修復”工具。經(jīng)過實際測試，如果被勒索后未重啟操作系統(tǒng)，該工具可以恢復已被WannaCry勒索病毒加密的文件。

阿里云建議，在勒索病毒“中招后”，不要馬上關(guān)閉、重啟操作系統(tǒng)，也不要去手工查殺病毒，直接使用該修復工具嘗試恢復數(shù)據(jù)。

阿里云云盾勒索病毒專殺工具(WannaCry文件恢復工具) v1.0 中文綠色版(附使用教程)

• 類型：病毒防治

• 大�。�0.97MB

• 語言：簡體中文

• 時間：2017-05-22

查看詳情

一、適用范圍

該工具適用于云上、云下Windows服務器操作系統(tǒng)用戶。

操作系統(tǒng)版本包括：Windows Server 2003、Windows  Server 2008。

二、工作原理及研究基礎
本次發(fā)布的修復工具基于wannakiwi項目的研究成果：既通過搜索內(nèi)存中的數(shù)據(jù)，獲取解密的關(guān)鍵素數(shù)來進行數(shù)據(jù)解密。

阿里云安全團隊在此研究基礎上，進行調(diào)試和封裝，讓工具簡單易用。

三、如何恢復

請按以下步驟進行操作：

1、按照文末給出的鏈接，下載修復工具到被加密的服務器或PC機器上。

2、雙擊運行，如下圖所示：

3、點擊“恢復文件”按鈕，執(zhí)行文件恢復功能，期間執(zhí)行時間會較長，請耐心等待。

4、恢復數(shù)據(jù)完畢后，點擊“清除病毒”按鈕，清理掉蠕蟲病毒程序及服務。

三、注意事項

在大多數(shù)情況下，加密的文件可以被成功恢復。

也有因內(nèi)存數(shù)據(jù)被二次寫入，覆蓋原有加密狀態(tài)時的數(shù)據(jù)，導致數(shù)據(jù)恢復不成功的案例。

這是因為，該工具通過暴力搜索內(nèi)存中的數(shù)據(jù)，獲取解密的關(guān)鍵素數(shù)來進行數(shù)據(jù)解密。一旦重啟或手工查殺會導致該數(shù)據(jù)被覆蓋，則永久無法直接解密。

不過，如果使用該工具時，出現(xiàn)數(shù)據(jù)解密失敗，不會對系統(tǒng)造成任何影響。

此外，用戶也可以選擇使用磁盤數(shù)據(jù)恢復軟件來嘗試恢復數(shù)據(jù)。