近來(lái)，“永恒之藍(lán)”的勒索病毒席卷全球，讓不少人都遭了殃。比如，高校的學(xué)子辛苦收集的學(xué)術(shù)材料和耕耘出的畢業(yè)論文，一下子就被黑客“劫持”，大量文件被加密鎖定;還有一些單位也未能幸免，數(shù)據(jù)庫(kù)被黑客“綁架”，導(dǎo)致企業(yè)運(yùn)轉(zhuǎn)受困。

　　5月15日，隸屬內(nèi)江市人民政府新聞辦公室的微信公眾號(hào)“最內(nèi)江”發(fā)布了一則重磅消息，稱(chēng)四川效率源科技信息安全技術(shù)股份有限公司的數(shù)據(jù)恢復(fù)四川省重點(diǎn)實(shí)驗(yàn)室，研發(fā)出了“‘永恒之藍(lán)’比特幣勒索Office數(shù)據(jù)恢復(fù)工具”，并將之免費(fèi)進(jìn)行發(fā)布，可以對(duì)被勒索病毒感染的文件進(jìn)行數(shù)據(jù)恢復(fù)。

　　勒索病毒克星閃亮登場(chǎng) 可免費(fèi)恢復(fù)被加密文件

　　5月15日，隸屬內(nèi)江市人民政府新聞辦公室的微信公眾號(hào)“最內(nèi)江”發(fā)布了一則重磅消息，稱(chēng)總部位于內(nèi)江的四川效率源信息安全技術(shù)股份有限公司，研發(fā)出了“‘永恒之藍(lán)’比特幣勒索Office數(shù)據(jù)恢復(fù)工具”，此軟件將免費(fèi)提供給大眾進(jìn)行下載，可對(duì)被勒索病毒加密的文件進(jìn)行數(shù)據(jù)恢復(fù)。

　　這則消息對(duì)于正在受到勒索病毒威脅的網(wǎng)友來(lái)說(shuō)，無(wú)疑于是一場(chǎng)及時(shí)雨，該公眾號(hào)稱(chēng)，此工具自5月14日晚上9點(diǎn)過(guò)上線(xiàn)后，截至5月15日下午2點(diǎn)，已經(jīng)有近1500次下載。肆虐的勒索病毒是否真的遇到了克星呢?四川新聞網(wǎng)記者今日到該公司一探究竟。

　　數(shù)據(jù)并不能完全恢復(fù) 大多數(shù)被加密文件可恢復(fù)70%以上

　　“數(shù)據(jù)并不能做到完全恢復(fù)，但可以恢復(fù)的比例能達(dá)到70%以上?！?月15日下午，四川新聞網(wǎng)記者來(lái)到了位于成都市環(huán)球中心的四川效率源公司，在該公司的數(shù)據(jù)恢復(fù)四川省重點(diǎn)實(shí)驗(yàn)室，研究員趙飛這樣說(shuō)道。

　　據(jù)趙飛介紹，其實(shí)早在今年4月，實(shí)驗(yàn)室就已經(jīng)研究出了針對(duì)企業(yè)用戶(hù)的“勒索比特幣服務(wù)器數(shù)據(jù)庫(kù)恢復(fù)工具”，并將之免費(fèi)對(duì)外發(fā)布，取得不錯(cuò)的效果。近一段時(shí)間，針對(duì)個(gè)人的勒索病毒也開(kāi)始肆虐，實(shí)驗(yàn)室與效率源聯(lián)手組織技術(shù)工程師對(duì)病毒進(jìn)行研究和破解，成功分析出此病毒的加密方式，又第一時(shí)間推出“永恒之藍(lán)”比特幣勒索Office數(shù)據(jù)恢復(fù)工具。

　　“此次推出的‘勒索Office數(shù)據(jù)恢復(fù)工具’，并不是破譯了黑客的密碼，而是對(duì)未被加密的部分進(jìn)行恢復(fù)。”趙飛告訴記者，由于勒索軟件中黑客設(shè)置的密碼長(zhǎng)達(dá)2048位，雖然理論上來(lái)講也能破譯，但即使是有一個(gè)高尖端的實(shí)驗(yàn)室，可能也需要花上至少幾年時(shí)間，并不實(shí)用。然而實(shí)驗(yàn)室的研究員們發(fā)現(xiàn)，對(duì)于小于1.5MB的文件，勒索病毒對(duì)全部?jī)?nèi)容進(jìn)行了加密;但大于1.5MB的文件，只有部分內(nèi)容被加密，其他的內(nèi)容仍然可以進(jìn)行恢復(fù)!

　　勒索軟件對(duì)于小于0x180000字節(jié)(1.5MB)的文件，對(duì)其全部?jī)?nèi)容都進(jìn)行了加密，并且在加密小文件時(shí)，會(huì)先加密，再刪除原文件。因此，如果計(jì)算機(jī)被加密，對(duì)于一些小文件，可以使用專(zhuān)業(yè)數(shù)據(jù)恢復(fù)軟件，如效率源DRS數(shù)據(jù)恢復(fù)系統(tǒng)、R-Studio、WinHex等進(jìn)行數(shù)據(jù)恢復(fù)。需要注意的是：此類(lèi)文件恢復(fù)成功率，會(huì)受到文件數(shù)量、時(shí)間、磁盤(pán)操作情況等因素影響。一般來(lái)說(shuō)，中毒后越早恢復(fù)，成功的幾率越高。

　　而對(duì)于如畢業(yè)論文在內(nèi)的大部分被黑文件來(lái)說(shuō)，其大小遠(yuǎn)遠(yuǎn)大于1.5MB,這時(shí)便可以用到此工具進(jìn)行恢復(fù)。趙飛介紹，勒索病毒對(duì)于大于1.5MB文件的加密方式，是將該文件的總大小整除3，假設(shè)每個(gè)間隔塊大小為M，病毒會(huì)將文件分為M和2M大小的兩個(gè)板塊，每個(gè)版塊的前512扇區(qū)被填0并加密，被加密的這兩個(gè)512扇區(qū)寫(xiě)入到文件尾部。

　　“其實(shí)2扇區(qū)才等同于1KB，兩個(gè)512扇區(qū)才512KB，看起來(lái)被加密的空間不大，但由于破壞了文件的整體結(jié)構(gòu)，導(dǎo)致更多的數(shù)據(jù)不能被恢復(fù)?！壁w飛表示，目前來(lái)講，對(duì)于被病毒襲擊的超過(guò)1.5MB大小的文件，使用“‘永恒之藍(lán)’比特幣勒索Office數(shù)據(jù)恢復(fù)工具”，其恢復(fù)比例可以達(dá)到70%以上，越大的文件，恢復(fù)的比例就越高。并且被恢復(fù)的數(shù)據(jù)是連貫的，不會(huì)出現(xiàn)只恢復(fù)了半張照片，或者是恢復(fù)出來(lái)的文字順序錯(cuò)亂的情況。

　　研究員現(xiàn)場(chǎng)演示 5.4MB的文件恢復(fù)了4.5MB

　　為了驗(yàn)證該工具的工作原理和效果，研究員趙飛在現(xiàn)場(chǎng)還實(shí)況展示了該工具的工作過(guò)程。在將自己的筆記本電腦斷開(kāi)網(wǎng)絡(luò)，防止感染到其他機(jī)器后，趙飛將勒索病毒導(dǎo)入到筆記本電腦中，屏幕上立即出現(xiàn)了勒索病毒的畫(huà)面。

　　“有網(wǎng)友提到，勒索病毒畫(huà)面出現(xiàn)后，無(wú)法操作鼠標(biāo)將該畫(huà)面關(guān)閉，所以無(wú)法使用我們的工具，其實(shí)不然?！壁w飛表示，出現(xiàn)這種情況，可以同時(shí)按下win鍵+D鍵，將勒索病毒畫(huà)面最小化，隨后便可以打開(kāi)“永恒之藍(lán)”比特幣勒索Office數(shù)據(jù)恢復(fù)工具的界面。

　　在工具打開(kāi)后，只需要按照操作界面的指引，將被病毒感染的文件導(dǎo)入工具中，便會(huì)自動(dòng)對(duì)文件進(jìn)行恢復(fù)，在趙飛操作結(jié)束后，記者看到，原本文件中的十張圖片，被恢復(fù)了八張，原本大小為5.4MB的文件，恢復(fù)后大小為4.5MB，效果還不錯(cuò)?！皩?duì)于純文字文檔和文字+圖片的文件，其原理是一樣的，都能恢復(fù)到七成以上?！?/p>

　　對(duì)于擔(dān)心感染病毒的網(wǎng)友，趙飛也支了招，近期不要瀏覽陌生網(wǎng)站，不要點(diǎn)擊陌生人傳來(lái)的鏈接或者郵件，對(duì)于windows操作系統(tǒng)的補(bǔ)丁要及時(shí)進(jìn)行更新，重要的資料要進(jìn)行異地備份，電腦上要安裝殺毒軟件。趙飛建議，就目前來(lái)講，暫時(shí)不要相信任何機(jī)構(gòu)或個(gè)人宣稱(chēng)可以破譯密碼完全還原資料，以免陷入詐騙當(dāng)中。

　　另外趙飛表示，后續(xù)實(shí)驗(yàn)室與效率源公司將加大投入，對(duì)軟件進(jìn)行升級(jí)，繼續(xù)為需要的網(wǎng)友提供服務(wù)，為打擊不法份子的違法行為作出貢獻(xiàn)。

　　最后附上下載地址：

　　效率源“永恒之藍(lán)”比特幣勒索Office數(shù)據(jù)恢復(fù)工具V1.0下載地址：

　　http://pan.baidu.com/s/1boE69kz

　　解壓密碼：www.xlysoft.net