科普 | 被勒索病毒加密的文件能恢复了！原理居然这么奇葩（附工具下载）

然而 360 却给出了一个事后补救措施。

今天（5 月 14 日）凌晨 2 点 18 分，360 安全卫士突然在微博上发布了一个 360 勒索蠕虫病毒文件恢复工具（文末有下载链接）， 声称可以恢复部分被勒索软件加密的文件 。恢复流程大致如下：

• 选择加密文件所在驱动器

• 扫描后，选择要恢复的文件

• 恢复前后对比图

▲以上图片来自 360 安全卫士官方微博

在微博中，作者强烈建议用户选择把恢复的文件保存在干净的移动硬盘或 U 盘上。同时作者还表示 并不能百分之百恢复文件，但是有可能恢复一定比例文件，成功概率会受到文件数量等多重因素影响 ：

本工具的文件恢复成功率会受到文件数量、时间、磁盘操作情况等因素影响。一般来说，中毒后越早恢复，成功的几率越高。

我们尽力而为，但无法确保能够成功恢复多大比例的文件。祝您好运！

根据此前安全研究者的说法，勒索软件采用的是 RSA + AES 加密算法，属于几乎无法在有限时间内破解的加密算法，那么此次 360 发布的工具又是基于什么原理呢？为什么恢复文件还存在一定概率？ 而且，不少网友发现， 此次的 “勒索蠕虫病毒文件恢复工具” 和 360 此前推出的 “误删除文件恢复工具” 极其相似，这又是为什么呢？他们是否使用了类似原理？

▲左为误删除文件恢复，右为勒索文件恢复工具

360 反病毒工程师王亮告诉雷锋网，该工具是针对 Wannacrypt （俗称：想哭）勒索软件制作的恢复工具， 并不是直接破解了加密算法，而是通过分析了该勒索软件的工作原理之后，利用一个特殊的手法实现的文件恢复。

他们发现，Wannacrypt 勒索软件的大致工作流程是这样的：

将原文件读取到内存中完成加密，生成一个加密文件，删除原文件。

因此电脑中的原始文件其实并没有直接被加密，而是被黑客删除了，被加密的只是副本。

▲雷锋网根据专家的描述制作的示意图