※ 本文為 XBUCKXMR 轉寄自 ptt.cc 更新時間: 2016-08-12 12:06:18
看板 Gossiping
作者 標題 Re: [爆卦] 我破解了勒索病毒
時間 Fri Aug 12 02:22:54 2016
前面已經有人在推文回應了,這樣不算破解,也不是神奇的事情。
寫個文好好解釋一下,以免以訛傳訛。
為什麼原po會看到這樣的結果呢?
解釋起來,所謂的勒索軟體就是一隻加密程式,
它會搜尋你整個硬碟裡的文件照片等等,加密以後做成新檔,把原始檔案刪除。
由於你沒有加密檔的解密方式,除非支付贖金,不然這些加密檔對你形同廢物了。
(不要受電影情節誤導,實際上加密技術已經很成熟,解密幾乎是不可能的。)
懂檔案系統運作原理的人都明白,
所謂的「刪除檔案」實際上只是先把這個檔案「宣告」成刪除的狀態,
之後若有新的檔案需要儲存,才可能把這個檔案用的空間蓋掉。
打個比方,如果存檔就是在白板上寫字,「刪除」並非馬上就把字擦掉,
只是宣告「這一塊可以擦掉了」,字暫時還是留在那裡,
直到需要在這一塊區域去寫新的字才會被擦掉。
快速格式化也是一樣,只是宣告「格式化好了」,但舊檔案暫時都還在。
反刪除或者反格式化軟體,做的事情很簡單,
就是把這些被宣告刪除的檔案「反宣告」,再次承認這些檔案有效而已。
若檔案已經被蓋掉,當然就不可能救的回來。
所以想跑這種軟體的話要越快越好,
趁硬碟還沒有寫很多新資料之前就跑,通常都救的回來。
回到原po的情況,原po的硬碟如果還很空,勒索軟體刪舊檔建立新檔的時候,
就有機會沒把舊檔蓋掉,去跑反刪除軟體就可以把一些舊檔救回來。
(看起來好像解開加密檔,但遺憾真的不是。)
但一定也只是部分而已,還是會有很多檔案被蓋掉救不回來了。
如果想嘗試這種作法,不要格式化,就是被鎖檔之後馬上跑反刪除軟體看看。
PS:
跟反刪除軟體相反,有一類軟體叫做「徹底刪除」軟體,
此類軟體能把檔案屍體的資料覆蓋掉,達到毀屍滅跡無法還原的效果。
在此推薦File Shredder,參見T客邦介紹文:
http://www.techbang.com/posts/12242
檔案碎紙機File Shredder:永遠無法回復,徹底刪除機密檔案 | T客邦 - 我只推薦好東西
![[圖]]()
使用隨身碟、隨身硬碟來進行檔案交換,雖然非常方便,不過如果用來存放重要的機密文件,就算事後加以刪除或格式化,仍有機會將檔案回復。如果擔心刪除的檔案被有心人士回收再利用,其實可以先進行多次檔案覆蓋的動作後再加以刪除,小編教你如何永久刪除機密檔案,讓你不再擔心機密檔案外流。 ...
![[圖]](http://cdn0.techbang.com.tw/system/excerpt_images/12242/original/3edccff919cbbd87d7219e86f6b2fd5e.png?1360120481)
該文沒有介紹,這套軟體主選單有個 "Shred Free Disk Space" 的功能。
就是把殘留在磁碟可用空間的檔案屍體清除。
有數位相機的人,不要以為把敏感檔案刪除就沒事,
最好定期跑一下這個功能,把你記憶卡裡的屍體清一清,以免哪天不慎遺失記憶卡...
送修筆電或者相機之前,更是一定要跑一下這個功能。
慣西哥當年就是沒學到這件事才...
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.240.190.246
※ 文章代碼(AID): #1NhCA1P4 (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1470939777.A.644.html
推 : 最後一句意圖使人複習1F 08/12 02:25
推 : 推2F 08/12 02:25
噓 : 喔你好幫喔 給你拍拍手3F 08/12 02:27
推 : 我是勒索軟體就跑這個去刪除檔案4F 08/12 02:27
推 : 這個邏輯有個問題:為什麼沒有救回被加密檔案 而只有救回5F 08/12 02:29
→ : 原始檔?
→ : 原始檔?
推 : 已複習7F 08/12 02:30
→ : 格式化時殺掉的新生加密檔案為什麼沒有救回來?8F 08/12 02:31
→ : 快速格式化有跟沒有一樣啊9F 08/12 02:33
→ : 總之,只要檔案的亡魂,還躺在硬碟裡沒被動到
→ : 總之,只要檔案的亡魂,還躺在硬碟裡沒被動到
推 : 我本來一時也沒想通 後來想通了 就像你用rar壓縮一個檔 還11F 08/12 02:33
→ : 救援軟體只要掃到他 就可以救得回來12F 08/12 02:34
→ : 設了密碼 結果密碼忘記了 偏偏沒壓縮的那個原檔又刪掉了13F 08/12 02:34
推 : 我比較頃向是照這樣講 應該連原始和加密檔案一起還原出14F 08/12 02:34
→ : 另外 如果病毒是先完成加密檔 才去砍舊檔15F 08/12 02:35
→ : 來 而不會只有前者16F 08/12 02:35
→ : 所以你就用救援軟體把原檔救回來 至於加密的那個 管它的 反17F 08/12 02:35
→ : 正也解不開了
→ : 正也解不開了
→ : 那就單一檔案來看,是不會寫在同一個地方的19F 08/12 02:35
→ : 實務上會怎麼樣我也不太清楚
→ : 實務上會怎麼樣我也不太清楚
推 : 原原po的文來看 新生加密檔案在format後並沒有救回來21F 08/12 02:37
→ : 但是快速格式化跟找回亡魂 似乎有微妙的不同22F 08/12 02:37
→ : 這是我最想不通的地方23F 08/12 02:38
→ : 講錯,應該是快速格式化跟刪除檔案 有微妙的不同24F 08/12 02:38
→ : 印象中 救回磁區跟找回刪除檔案的軟體 是不太一樣的
→ : 至少我當年舊檔案的時候,用的是不同的軟體 不太通用
→ : 救
→ : 印象中 救回磁區跟找回刪除檔案的軟體 是不太一樣的
→ : 至少我當年舊檔案的時候,用的是不同的軟體 不太通用
→ : 救
推 : 這個我知道28F 08/12 02:45
推 : 最近有些學生中這類毒 聽他們描述 中到毒的人幾乎都不懂29F 08/12 02:51
→ : 電腦基本原理 所以口述挽救方法,他們也聽不懂,最後都是
→ : 送去店裡重灌
→ : 電腦基本原理 所以口述挽救方法,他們也聽不懂,最後都是
→ : 送去店裡重灌
推 : 我還蠻意外一堆人不知道的說,87文也可以被推成神文32F 08/12 03:04
→ : 真的很意外 只能說時代變了33F 08/12 03:07
推 : 文組34F 08/12 03:25
推 : 正確,所以如果手機送修不光是要格式化,還要用不要的檔35F 08/12 03:30
→ : 案塞滿覆蓋過去才算
→ : 案塞滿覆蓋過去才算
→ : 你應該沒用過復原工具,能搶救回來的檔案很少37F 08/12 06:36
推 : 原po概念完全正確@@~沒被覆蓋掉幾乎都可以救,以前38F 08/12 06:46
→ : 好像有一個 recovered 什麼的軟體就可以
→ : 好像有一個 recovered 什麼的軟體就可以
推 : 認真給推40F 08/12 06:55
推 : 推41F 08/12 07:15
推 : 觀念正確 不管怎麼回復都跟解密無關42F 08/12 08:43
推 : 八卦版應該多一些這種文章43F 08/12 10:20
推 :44F 08/12 10:42
→ : 應該是硬碟很空所以沒覆蓋舊檔。另外理論上完全格式化或45F 08/12 10:48
→ : 附蓋仍有機率救回,原理是寫入1,實際上並不是真的1,而
→ : 可能是0.9XX,會依之前硬碟磁性物質的數值而變動,所以可
→ : 以透過演算救回原始數據,而理論上要複寫7次以上才救不回
→ : 所以也可以不用軟體自己刪乾淨,拿個大檔案比如影片檔,
→ : 刪除檔案後一直複製大檔案,滿了後刪掉再換個大檔案,多
→ : 次後就可以了,不安心多弄幾次
→ : 附蓋仍有機率救回,原理是寫入1,實際上並不是真的1,而
→ : 可能是0.9XX,會依之前硬碟磁性物質的數值而變動,所以可
→ : 以透過演算救回原始數據,而理論上要複寫7次以上才救不回
→ : 所以也可以不用軟體自己刪乾淨,拿個大檔案比如影片檔,
→ : 刪除檔案後一直複製大檔案,滿了後刪掉再換個大檔案,多
→ : 次後就可以了,不安心多弄幾次
推 : 真的是繞過去52F 08/12 11:01
→ : yoyo大師先知啊
→ : yoyo大師先知啊
推 : 推54F 08/12 11:17
--
※ 看板: traume 文章推薦值: 0 目前人氣: 0 累積人氣: 166
回列表(←)
分享