内江效率源成功攻克勒索病毒现已发布“永恒之蓝”比特币勒索Office数据恢复工具

◇本报记者胡琳

这几天，“永恒之蓝”勒索病毒无疑是热点中的热点，占据了各大媒体的头条，也刷爆了我们的朋友圈。

5月15日，共青团中央官方微博转发了一条消息，引起国内众多人士关注：《重磅！“永恒之蓝”勒索病毒被四川一网络安全公司成功攻克，独家发布感染数据免费恢复工具！》共青团中央微博报道：内江市人民政府新闻办公室官方微信最内江发文称，近日肆虐网络的“永恒之蓝”勒索病毒已被四川一家网络安全公司——效率源信息安全技术股份有限公司成功攻克！并发布了数据恢复免费产品。

而在这条微博发布的3个小时前，微信公众平台最内江通过采访总部位于内江的四川效率源信息安全技术股份有限公司，已经发布了这条消息。截至5月16日零时，该文的点击率高达3万1千余次，被转发量更无法统计。

勒索病毒肆虐，

中国校园网络成重灾区

5月12日晚，全球近百国网民相继遭受到一款名为WNCRYPT“永恒之蓝”的恶意勒索软件攻击，受害电脑被黑客“劫持”，大量文件被加密锁定。中国的部分企业、医院、政府机关等单位在这场攻击中也未能幸免，特别是校园网络成为重灾区。

目前，中国各大高校已经进入毕业答辩时间，不少学生电脑里的Office文件不幸“中招”，无法打开，包括毕业论文、毕业设计和答辩PPT等全被锁定。中了勒索病毒的学生都十分着急，很多人甚至已经开始连夜重做毕业论文和答辩PPT等。

内江高科技企业出手，

成功分析出勒索病毒加密方式

总部位于内江经开区的四川效率源信息安全技术股份有限公司，是国家高新技术企业和国家科技部重点新产品研制单位，拥有16年的介质存储技术底层研究和世界领先的数据恢复技术，申请国家专利达350余项 。

2015年4月，效率源科技建设了数据恢复四川省重点实验室。实验室围绕存储数据恢复、移动终端数据恢复、图像与视频数据恢复课题展开研究，面向国内外开放，注重自主创新、自主研发。实验室设立学术委员会，由11名全国知名高校、研究机构相关专业权威专家组成。

针对比特币勒索软件，该数据恢复重点实验室搭建仿真破环环境，已经进行了数月的研究和实践，有着丰富的技术和经验。2017年4月，就成功研发出了针对数据库加密的恢复方法，并由效率源科技进行产品化，上市了“勒索比特币服务器数据库恢复工具”，成功对感染了Wallet勒索病毒的多家企业进行关键数据恢复。

什么是勒索软件？

勒索软件是近年来一种流行的木马，其通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。目前，中国已经成勒索软件重灾区，每年仅此一项带来的损失就超过10亿元。

四川某市一燃气公司电脑遭受恶意勒索软件攻击

据效率源科技公司总经理梁效宁介绍，2017年以来，效率源科技已经接到公安机关几十起针对企业进行勒索的案件协助。其中，最近的一次案例发生在今年4月：四川某市一燃气公司员工上班时发现，公司燃气系统服务器被勒索软件病毒感染，所有关键数据和信息都被锁定，导致整个系统无法正常运行。黑客在所有被加密的文件上都留下了他们的邮箱联系方式，要求燃气公司支付4个比特币（约合人民币2.8万元）才肯解除密码锁定。

面对勒索软件的敲诈，企业要么选择缴纳赎金以求拿回数据，要么选择找专业安全厂商解密数据。

企业如果选择交赎金，还是可能拿不到数据，其原因可能有： 1.黑客暴露，被国外或国内公安抓住； 2.黑客的网站或者服务器被封，无法登录后台确认有没有收到钱；3.黑客的解密服务器出问题，导致数据无法解密；4.病毒加密程序bug，加密文件与解密不完整。

而选择寻找专业安全厂商解密数据，则面临高昂的技术服务费。以本案为例，燃气公司咨询几家信息安全厂商之后，得到的技术服务费用都在3万元以上，甚至已经超出了黑客勒索的成本。

“高手过招，有招便有破”

在接到针对该案的协助调查后，效率源科技在第一时间组织骨干技术人员进行研究和破解。效率源技术工程师研究发现：本案中的勒索软件是一种名为Wallet木马病毒的最新版本（主程序版本2017∕3∕30）。此版本Wallet虽然也是通过服务器传播，但是入侵者采用了更多样的手法——不再仅仅是对3389端口进行简单扫描，而是更有针对性的对服务器进行系统性攻击。

针对本案中的Wallet勒索软件，效率源技术工程师使用自主研发的免费软件——勒索比特币服务器数据库恢复工具，成功恢复出数据库的记录。

效率源勒索比特币服务器数据库恢复工具目前能够支持对多个版本的木马病毒进行数据恢复。尽管如此，黑客也在不断的更新病毒版本，因此，效率源科技科研人员也在持续进行研究，不断对勒索比特币服务器数据库恢复工具进行版本升级，以便更好解决此类问题。

“发在意先，一招制敌”

果不其然，5月12日20时左右，Wallet勒索软件的升级版——“永恒之蓝”勒索病毒爆发，目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染，我国部分Windows系列操作系统用户已经遭到感染。

此次，针对变异的“永恒之蓝”，实验室与效率源联手组织技术工程师对病毒进行研究和破解，成功分析出此病毒的加密方式，第一时间推出“永恒之蓝”比特币勒索Office数据恢复工具V1.0。

经研究发现，“永恒之蓝”勒索病毒的加密方式主要有两种，效率源科技工程师赵飞的详细介绍：

1、大于1.5MB文件的加密方式

对于大于0x180000字节（1.5MB）的文件，是按照正常文件总大小整除3，得到每个间隔块大小M，将文件分为M、2M大小的两个间隔块，每个间隔块的前512扇区被填0，被加密的512扇区都会被填0，并将加密的多个512扇区写入到文件尾部。

该类文件数据大多数没有被加密，特别是数据库之类的大文件，可以直接使用效率源“勒索比特币服务器数据库恢复工具”进行数据库记录提取，其准确率在93%以上。

针对特殊格式的文档，如docx文档，可进行碎片恢复。目前，效率源科技技术工程师已成功开发出免费工具——“永恒之蓝”比特币勒索Office数据恢复工具V1.0。打开软件，导入被加密文件，选择存储路径（建议保存在干净的移动硬盘或U盘上），点击数据分析，即可进行数据恢复，操作十分简便。

效率源是全球第一家发布专门针对勒索数据库以及文档的数据恢复免费产品，而且恢复成功率也是最高的。“永恒之蓝”比特币勒索Office数据恢复工具于5月14日晚上9点过上线，截至5月15日下午2点，有近1500次下载。

2、小于1.5MB文件的加密方式

对于小于0x180000（1.5MB）字节的文件，其全部内容都进行了加密，但是在加密小文件时，会先加密，再删除原文件。因此，如果计算机被加密，对于一些小文件，可以使用专业数据恢复软件，如效率源DRS数据恢复系统、R-Studio、WinHex等进行数据恢复。

需要注意的是：此类文件恢复成功率，会受到文件数量、时间、磁盘操作情况等因素影响。一般来说，中毒后越早恢复，成功的几率越高。

网友直呼

“世界需要你们拯救”

勒索病毒肆虐全球，内江高科技企业效率源“该出手时就出手”，赢得了不少网友的欢呼。

网友@大头鱼说：推出国际版本的，世界需要你们拯救~

网友“朦胧渐散”说：这场仗，我大内江的科技公司打得漂亮！

网友“青可”说：我内简直不得了，好凶啊！

网友“音乐狗熊”说：大内江威武，厉害了我的源！

网友“一粟”说：这公司上市没有？估计上市了股票要涨停。

对此，效率源的技术人员表示，国外版本语言包装和一些技术小细节需要修改，大致原理相同，但还是有差异性的，要做一些特殊处理，很快就会推出！

效率源 “永恒之蓝”比特币勒索Office数据恢复工具V1.0下载地址：

http://pan.baidu.com/s/1dE8wJS1?qq-pf-to=pcqq.discussion

解压密码：www.xlysoft.net

新闻推荐

国家级垂钓竞技基地暨产村融合科技示范园项目落户市中区

（李立科全媒体记者周瑶慧）5月11日，市中区举行国家级垂钓竞技基地暨产村融合科技示范园项目签约仪式。副市长、市中区委书记蒋学东，市农业科学院院长黄跃成，区人大常委会主任张晓亮，区委副书记兰...

内江新闻，新鲜有料。可以走尽是天涯，难以品尽是故乡。距离内江再远也不是问题。世界很大，期待在此相遇。