勒索病毒文件恢复工具2.0会杀死病毒进程，导致无法恢复本机私钥

fakeviolation

这个工具你们已经做过二次开发了，它的工作原理你们肯定比我懂：
https://blog.comae.io/wannacry-d ... i-demo-86bafb81112d
已测试360勒索病毒文件恢复工具2.0.0.1020版本，Win7 x64。先杀掉病毒再尝试恢复，是没错，但既然已经有在内存中直接搜索本机RSA私钥的工具，哪怕是拼RP的一线希望也不能放弃啊……

当然，也许你们已经识别了环境，可能64位Win7下搜私钥基本没戏所以就直接干掉进程了吧，那算我没说……====================================================================================
LZ又用32位WinXP测试了一下，看样子很有必要提醒你们更新啊！
WanaKiwi指定tasksche.exe的PID后，成功搜到私钥并解锁文件（只是我懒得看着它跑完）不过，它好像没干掉病毒的进程，不知道会不会有解密完又被加密的尴尬——这个也不怕了，私钥都保存了，还怕个啥；而且它不会动已经被加密的.WNCRY文件，也许有磁盘写满的尴尬；
但2.0.0.1020版360勒索病毒文件恢复工具把tasksche.exe干掉了
这也就算了，点了扫描还说“您的电脑中没有需要恢复的文件”示例图片表示没人权！====================================================================================
附加吐槽：杀tasksche.exe就算了，毕竟它就是执行加密的罪魁祸首……但为啥跑起恢复工具2.0后，仍然能看到机器在扫描随机IP的TCP 445？
要不是我提前设置好防火墙，估计我这波测试又放出去一堆病毒啊……
我测试时，把那个假的Microsoft Security Center (2.0) Service对应的进程杀掉就可以不再传播了啊……

fakeviolation

还有这个工具的恢复成功率……我用新装的虚拟机（也许这就是原因？测试环境偏离正常使用环境比较远？）测试的，结果太让我失望了！随便找个数据恢复工具都能扫到文件（虽然扫到的也是自带的壁纸jpg），你们的2.0版工具居然扫不到文件！？
如果有空就科普一下这是咋回事吧……

fastgame

360就是个笑话，我在5.12前半个月电脑就被勒索了，360杀毒，360安全卫士都静静的躺在tray区很安详

360主动防御

您好，恢复工具如果不杀掉进程会导致恢复的文档二次被加密如果电脑没重启时可以先考虑用解密工具尝试解密，在恢复不了时再尝试用恢复工具扫描

fakeviolation

360主动防御 发表于 2017-5-22 10:00
感谢楼主反馈，我核实下

过了9个小时了，还没回复。
我从微博置顶链接下载回来的好像也还是原来的版本（可能是缓存原因吧）。
再这么下去真让人粉转黑啊。

大明湖畔的乾隆

试试企鹅家的，看有没有点点用？

fakeviolation

萧萧先生 发表于 2017-5-22 20:10
试试企鹅家的，看有没有点点用？

谢谢关心，不过我不是受害者，我只是闲着蛋疼的小透明热心群众。

大明湖畔的乾隆

fakeviolation 发表于 2017-5-22 20:35
谢谢关心，不过我不是受害者，我只是闲着蛋疼的小透明热心群众。

没别的意思，只是想让楼主试试看看哪家稍微强一点，或者两家都是吹牛逼的大话王

fakeviolation

萧萧先生 发表于 2017-5-22 20:44
没别的意思，只是想让楼主试试看看哪家稍微强一点，或者两家都是吹牛逼的大话王

这个指引网页看上去没问题，应该是先尝试从内存搜私钥（实际上应该说搜质数）不行再想别的办法：
https://guanjia.qq.com/wannacry/open.html#1_3
（刚刚又仔细看了一下，没把Win7也可能恢复写进去）
不过我都懒得测了……估计换汤不换药。

微博上写得也有点误导：

【快报：电脑管家找到解锁新路径，或可完全恢复被锁文件】研究人员发现WannaCry木马在某些系统下可获取解密秘钥，或有机会可以恢复出所有被加密文件，电脑管家团队已经跟进测试。 ​​​​

不仔细看还以为是他们自己研究出方法了。

fakeviolation

360主动防御 发表于 2017-5-22 10:00
感谢楼主反馈，我核实下

不多说啥了……如果你们能把置顶微博的指引做得和某鹅一样，先尝试搜私钥再去杀毒、恢复，那我也没啥好吐槽的了……
而且，我一个小透明，在这里吐槽几句又有什么用呢。