为什么Wannacry 勒索病毒加密的部分数据能恢复？

电脑问题网-安全评测 为什么 Wannacry 勒索病毒 加密的部分数据能恢复？

　　答：“ Wannacry ”蠕虫加密破坏机理如下：首先读取原始文件，进行加密操作，生成新的加密后的文件。此时，原始文件与加密后的文件共同存在（如图红色部分）。

Wannacry 勒索病毒原始文件与加密后的文件共同存在

　　此后蠕虫将未加密的原始文件移动到%Temp%目录下，并把文件名改为一个顺序号，并修改扩展名为.WNCRYT，并会移动两次，从攻击者的意图来看，可能是使恢复工具恢复出的文件不在原始目录下，且与原命名不符，导致被用户忽略放弃。

　　此时原始文件已经不存在了，但病毒还尝试执行下面两个操作，尝试把原来的文件再删除一次。

　　样本会定期调用taskdl.exe（主模块释放出来的）将%Temp%目录下的*.WNCRYT进行删除，而其他勒索软件主要使用在原扇区进行文件覆盖。因此该勒索软件可以通过文件数据恢复来恢复部分文件。