勒索病毒修复与解密
安全指导 服务流程
勒索病毒.
当您的服务器或电脑出现此画面的时候,证明已经中了勒索病毒,请不要惊慌,我们有专业的解决方案和完善的安全流程!

请按照以下步骤进行操作


1、请**时间致电大众科技数据恢复中心或给我们留言,将由专业技术 人员对您进行指导处理

2、准备PE盘和1块没有数据的移动硬盘,用PE盘启动计算机,将中招的数据库文件备份到移动硬盘,然后关闭电脑保持原状态不变

3、我们修复加密数据库只针对备份进行操作,如果必要,我们将直接在中毒设备上进行修复,修复前请进行数据备份,我们提供24H救援服务。


注意事项
请勿病急乱投医
 自勒索病毒爆发以来,国内出现大量勒索病毒解密公司,各家情况参差不齐,还有一些浑水摸鱼的骗子,伙同黑客一起乘火打劫,交了赎金,也不会帮你解决,最后人都找不到,受害者众多,务必谨慎。

  尽快找正规、专业恢复机构(通过案例、技术沟通、商务流程等方面判断对方是否真的专业)分析病毒类型和数据加密情况,评估损失程度,最终确定采取哪种恢复途径

GlobeImposter家族勒索病 解密/文件修复

2018春节刚过,新型勒索病毒卷土重来,国内众多卫生、医疗系统中招,其中比较有名的案例为某省儿童医院系统遭受勒索病毒攻击,导致医院业务系统瘫痪,患者无法就医。据悉该医院多台服务器感染勒索病毒,数据库文件被病毒加密破坏,攻击者要求院方必须在六小时内为每台中招机器支付1比特币赎金才能解密文件。

此次新型勒索病毒为GlobeImposter家族勒索病毒及其变种,它会加密磁盘文件并篡改后缀名为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE等形式。由于其采用高强度非对称加密方式,受害者在没有私钥的情况下无法恢复文件。


GlobeImposter家族 勒索邮箱列表(邮箱特征:aol、india)


中勒索病 文件被加密,数据如何恢复?

主要通过文件修复和数据解密,这两种方式来解决, 我们该选择哪种方式呢?
自勒索病毒爆发以来,国内出现大量勒索病毒解密公司,各家情况参差不齐,还有一些浑水摸鱼的骗子,伙同黑客一起乘火打劫,交了赎金,也不会帮你解决,最后人都找不到,受害者众多,务必谨慎。

  尽快找正规、专业恢复机构(通过案例、技术沟通、商务流程等方面判断对方是否真的专业)分析病毒类型和数据加密情况,评估损失程度,最终确定采取哪种恢复途径

勒索病毒 加密文件 底层分析
我们工程师经过对各类勒索病毒加密的数据进行底层分析,加密方式各有不同,恢复方法和技术也需要具体分析:

1.文件头被加密或清空,并在文件尾生产加密信息,但文件主体还是完好,此种类型数据可以进行修复,特别是数据库文件,目前我们能对ms sql /my sql /oracel/access等常用数据库进行完美修复,修复的费用远远低于赎金,修复后,先验证数据,确认后再收费,安全有保障。


2.文件底层每间隔N扇区加密N扇区,并在文件尾部生产加密信息,具体间隔多少扇区和加密多少扇区各有不同,因文件主体大部分被加密,直接修复难度极大。如果是数据库文件,且备份文件较多,或有未被加密较新的备份文件,也能较好修复。


3.文件底层全部被加密,并在文件尾部产生加密信息,此种加密,目前无人能修复和解密,**的途径就是交赎金,拿到黑客的解密程序和秘钥。国内还有些公司大言不惭的说能解密云云,都是忽悠的。简单想想就能明白,勒索病毒爆发以来,全球都面临数据安全威胁,这么多国际安全厂商卡巴斯基、趋势,国内的绿盟、360、瑞星等等,都无能为力,更何况几个人的数据恢复公司都能解决,目前国内所有解密都是向黑客交赎金。


支持常见数据库的版本

mssql mysql oracle sybase access sqlite mongodb postgresql interbase firebird等数据库。

大量成功案例,无论怎样加密都有解决方案.欢迎咨询、

mssql 文件 .MDF .NDF .LDF .BAK  mysql 文件   .MYD .IBD .IBDATA1 .SQL

mariadb 文件 .MYD .IBD .IBDATA1   .MAD .SQL       oracle 文件 .DBF   .ORA .DMP (EXPDMP)

access 文件 .MDB .ACCDB       sybase 文件 .DAT .DB      interbase 文件.GDB .IB .GBK .FBK

Firebird 文件 .FDB .dbf .FBK      mongodb   文件   .wt   .0 .1 .2 .3 .4 .5 .BSON 等

Exchange 文件 EDB STM .BAK      PostgreSQL 数据库文件等数据库文件 不限于此

以及 .BAK   .SQL   .dmp   .dump .db .GBK   .FBK   .BSON等备份文件及压缩包文件 zip rar 7z gz tar等.

勒索病毒能修复的原因
1、数据库被完全加密 这种 加密前往往都有文件副本 加密完成删除副本文件,所以我们可以通过分区恢复文件。


2、99.9%的加密库数据库前面0.01MB- 最多16MB被加密,我们可以通过表结构来匹配页面来提取数据库表数据。图二是一个被加密前5mb的文件


勒索病毒修复我们是专业的

图二:加密和未加密区域的对比,不难看出,病毒只是对某个扇区或页进行加密,每隔X扇区有规律的加密一次,我们可以根据其规律在未加密的区域提取表数据 也可直接重建为新的数据库直接被ERP或者财务软件使用。对于有近期未加密的备份或加密较少的数据库,人工可以直接将加密库完全修复 直接被程序使用.

苏公网安备 32050802011072号