勒索病毒文件恢复工具2.0会杀死病毒进程，导致无法恢复本机私钥

fakeviolation

weng6698175 发表于 2017-5-27 10:07
360的恢复好像不行，搞个测试机弄了，也是还原不回来

目前有两条路可走：1.解密被加密的文件；2.捞出被删的文件
第一条路，可以用WanaKiwi，不过需要病毒进程从一开始就没退出过，一直运行到WanaKiwi运行才有机会从内存里搜密钥（实际上是搜质数，然后重组成私钥）——有几个人不会下意识杀毒/关机/重启？一旦这么干了，这个拼RP的机会也没了。
Twitter上的消息是32位WinXP/32位Win7成功，我试过32位WinXP，成功，64位Win7则失败。
国内的大厂也是醉……就不能少吹几句么？管家微博转人家的成果连个名字都不提，不仔细看还以为是他们自己找到的方法。360的行为本贴吐槽过了，连微博置顶的受害指引都懒得改。

第二条路……我反正是理解不了360说的“病毒调用MoveFileEx移动一下文件就不能用常规工具软件恢复”是个什么神奇的“逻辑”。
我用新装的虚拟机测试（也有可能是因为条件不同，我的测试条件可能偏离正常使用环境？）时，能恢复（用的是DiskGenius）的恰恰是像他们的分析文章里说的，先被移动到Temp目录再被删除的文件。360吹上天的恢复工具2.0呢？显示没有可恢复的文件……

fakeviolation

weng6698175 发表于 2017-5-27 10:07
360的恢复好像不行，搞个测试机弄了，也是还原不回来

我发这贴也只是给他们提个建议，我终究只是门外汉键盘侠，他们才是专业的，愿不愿意接受我的建议是他们的事情。
至于我吐槽MoveFileEx什么的……只能定性为外行胡说八道。

fakeviolation

360主动防御 发表于 2017-5-23 11:31
您好，恢复工具如果不杀掉进程会导致恢复的文档二次被加密，如果电脑没重启时可以先考虑用解密工具尝试解 ...

下载了2.0.0.1030版恢复工具，仍然是静默杀掉tasksche.exe，没有“请先尝试搜索私钥”的提示。不断尝试传染的mssecsvc.exe仍然不会被杀掉。
最后界面显示“您的电脑中没有需要恢复的文件”。
我的语气可能确实很差，向您道歉。不过，我也没啥别的目的，只是希望360能在这个小工具上能做得更好一些而已。