别哭！被WannaCry加密的档案有机会救回

如果不幸被WannaCry勒索蠕虫加密档案，先不要太绝望，根据TWCERT/CC最新的调查报告，幸运的话仍有机会以磁盘修复工具救回部分档案。

自上周五开始在全球肆虐的WannaCry勒索蠕虫，在周末短短两天内就让灾情迅速扩及全球150国数十万台电脑。WannaCry勒索蠕虫一旦侵袭电脑，就会立即搜寻电脑的档案，并立即以RSA 2048位元的高等级加密，把档案都加密，借此勒索受害者等值300美元至600美元的比特币，以赎回解密的金钥。WannaCry会加密的档案种类多达180种以上，除非在被感染后迅速察觉，否则常用的电脑档案几乎都难以逃过一劫。

由于WannaCry采用的2048位元RSA加密是极高等级的档案加密技术，若非取得解密金钥，想要自行尝试解密几乎是不太可能。不过，根据TWCERT/CC最新的调查结果，受害者先不要太过于绝望。台湾电脑网络危机处理暨协调中心于今日（5/16）公布《WanaCrypt0r勒索软件行为分析》调查报告，在监控分析该勒索软件的运作历程之后，发现WanaCrypt0r勒索软件对档案加密的方式，是有机会让受害者救回部分被加密的档案。

TWCERT/CC的调查发现，WanaCrypt0r勒索软件是先将原始档案读取到内存，于内存中运行档案加密，完成加密后即产出另一个加密过的档案副本，接着勒索软件再删除原始档案，由于只是删除原始档案并不会彻底抹除该档案，透过磁盘修复软件就可以轻易复原，因而WanaCrypt0r采取新增一个与遭删除的原始档案相同大小的档案，并将之改为WNCRYT副档名，企图覆盖被删除档案原本所在的磁盘位置，让磁盘修复软件无法复原。

WannaCry勒索蠕虫的加密方式，是将原始档案读取到内存进行加密，新增加密后的档案副本，再删除原始档案。

然而，覆写档案的抺除效果并不如磁盘低阶格式化来得彻底，事实上覆写档案并无法保证能够完全抹除档案。经过TWCERT/CC以Piriform Recuva磁盘修复工具实测，确定能够成功救回部分被加密的档案。不过必须注意的是，目前一般电脑所配备的硬盘容量都很大，以磁盘修复工具回复需要花费不少时间。

测试档案已经被WannaCry勒索蠕虫加密，副档名皆被改为WNCRY。

TWCERT/CC分析WannaCry勒索蠕虫的档案加密特性后，发现有机会以磁盘修复工具救回档案，实测确实成功救回部分档案。