雷鋒網按：利用 “永恒之藍(lán)” 漏洞進行勒索的蠕蟲病毒正肆虐全球，所有中(zhōng)招者一(yī)籌莫展，因爲絕大(dà)多數安全公司給出的解決方案，都是事前預防措施。

然而360卻給出了一(yī)個事後補救措施。

今天（5月14日）淩晨2點18分(fēn)，360安全衛士突然在微博上發布了一(yī)個360勒索蠕蟲病毒文件恢複工(gōng)具（文末有下(xià)載鏈接），聲稱可以恢複部分(fēn)被勒索軟件加密的文件。恢複流程大(dà)緻如下(xià)：

• 選擇加密文件所在驅動器

• 掃描後，選擇要恢複的文件

• 恢複前後對比圖

▲以上圖片來自360安全衛士官方微博

在微博中(zhōng)，作者強烈建議用戶選擇把恢複的文件保存在幹淨的移動硬盤或U盤上。同時作者還表示并不能百分(fēn)之百恢複文件，但是有可能恢複一(yī)定比例文件，成功概率會受到文件數量等多重因素影響：

本工(gōng)具的文件恢複成功率會受到文件數量、時間、磁盤操作情況等因素影響。一(yī)般來說，中(zhōng)毒後越早恢複，成功的幾率越高。

我(wǒ)(wǒ)們盡力而爲，但無法确保能夠成功恢複多大(dà)比例的文件。祝您好運！

根據此前安全研究者的說法，勒索軟件采用的是RSA + AES加密算法，屬于幾乎無法在有限時間内破解的加密算法，那麽此次 360發布的工(gōng)具又(yòu)是基于什麽原理呢？爲什麽恢複文件還存在一(yī)定概率？而且，不少網友發現，此次的 “勒索蠕蟲病毒文件恢複工(gōng)具” 和360此前推出的 “誤删除文件恢複工(gōng)具” 極其相似，這又(yòu)是爲什麽呢？他們是否使用了類似原理？

▲左爲誤删除文件恢複，右爲勒索文件恢複工(gōng)具

360反病毒工(gōng)程師王亮告訴雷鋒網，該工(gōng)具是針對Wannacrypt （俗稱：想哭）勒索軟件制作的恢複工(gōng)具，并不是直接破解了加密算法，而是通過分(fēn)析了該勒索軟件的工(gōng)作原理之後，利用一(yī)個特殊的手法實現的文件恢複。

他們發現，Wannacrypt勒索軟件的大(dà)緻工(gōng)作流程是這樣的：

将原文件讀取到内存中(zhōng)完成加密，生(shēng)成一(yī)個加密文件，删除原文件。

因此電腦中(zhōng)的原始文件其實并沒有直接被加密，而是被黑客删除了，被加密的隻是副本。

▲雷鋒網根據專家的描述制作的示意圖

王亮向雷鋒網解釋了勒索軟件的加密原理：

一(yī)般來說，主流的勒索病毒通常有兩種操作文件的方式，一(yī)種是直接加密覆蓋原文件，這種情況下(xià)沒有勒索者的密鑰，幾乎是無法恢複的；另一(yī)種則是先加密生(shēng)成副本文件，然後删除原文件，這種情況下(xià)是有可能恢複的。

但是，狡猾的勒索者通常會對文件進行深度處理，比如在删除之前，用垃圾數據把原文件覆蓋一(yī)遍，這時受害者用文件恢複的辦法，隻能恢複出一(yī)堆垃圾數據。

所幸的是，他們分(fēn)析此次Wannacrypt勒索軟件時，發現它并沒有對原文件進行這樣的 “深度處理”，而是直接删除。這在王亮看來算是一(yī)個比較低級的 “失策”，而360此次正是利用了勒索者的 “失策”，實現了部分(fēn)文件恢複。

王亮強調，此次發布的工(gōng)具是隻針對Wannacrypt勒索軟件的，對于其他勒索病毒可能沒有用，同時也無法保證100% 恢複所有文件，因爲這涉及到原文件的存儲位置、數量、删除時間和磁盤讀寫情況等因素。但即使如此，他們也希望能夠盡一(yī)己之力，幫助人們搶救回一(yī)些重要資(zī)料，救回來一(yī)個是一(yī)個。

和諸多安全公司一(yī)樣，目前他們仍在對此次勒索蠕蟲病毒進行進一(yī)步分(fēn)析和研究，新的發現和成果将第一(yī)時間發布。雷鋒網也将在第一(yī)時間跟進。