勒索病毒修复

2019-06-21 14:57001

3.jpg


当您的服务器或电脑出现此画面的时候,证明您已经中了勒索病毒,请不要惊慌,我们有专业的解决方案和完善的安全流程!


请按照以下步骤进行操作

1、请**时间致电或留言给我们,亲自专业指导处理

2、准备PE盘和1块没有数据的移动硬盘,用PE盘启动计算机,将中招的文件备份到移动硬盘,然后关闭电脑保持原状态不变

3、我们恢复或解密只针对备份进行操作,我们提供24H救援服务。


注意事项:   

  请勿病急乱投医,自勒索病毒爆发以来,国内出现大量勒索病毒解密公司,各家情况参差不齐,还有一些浑水摸鱼的骗子,伙同黑客一起乘火打劫,交了赎金,也不会帮你解决,最后人都找不到,受害者众多,务必谨慎。

  尽快找正规、专业恢复机构(通过案例、技术沟通、商务流程等方面判断对方是否真的专业)分析病毒类型和数据加密情况,评估损失程度,最终确定采取哪种恢复途径(勒索病毒如何恢复见下文)


GlobeImposter家族勒索病 解密/文件修复

2018春节刚过,新型勒索病毒卷土重来,国内众多卫生、医疗系统中招,其中比较有名的案例为某省儿童医院系统遭受勒索病毒攻击,导致医院业务系统瘫痪,患者无法就医。据悉该医院多台服务器感染勒索病毒,数据库文件被病毒加密破坏,攻击者要求院方必须在六小时内为每台中招机器支付1比特币赎金才能解密文件。

此次新型勒索病毒为GlobeImposter家族勒索病毒及其变种,它会加密磁盘文件并篡改后缀名为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE等形式。由于其采用高强度非对称加密方式,受害者在没有私钥的情况下无法恢复文件。


GlobeImposter家族 勒索邮箱列表(邮箱特征:aol、india


勒索案例照片1.jpg


中勒索病 文件被加密,数据如何恢复?

主要有两种解决方案:文件修复、数据解密, 两种方案有什么区别,又该如何选择呢?


修 复

VS

解 密

主要对Ms sqlmysqloracel

数据库文件进行修复

恢复对象

对全部文件进行解密

需相同数据库文件未被加密的备份或相同库结构的空库文件

恢复要求

无要求

根据文件加密情况、库文件大小、修复难度决定。需将加密库文件及备份发给工程师进行分析、评估而定。

恢复时间

一般1-2天(由黑客决定)

一般数据完整度99-100%

恢复效果

完全恢复(特殊情况外)

费用低且可签订保密协议

恢复费用

特别高

(黑客会根据文件重要程度、数量等因素确定)

只需恢复数据库文件,,即可选择修复,修复费用远远低于解密。文件修复成功收费,无任何风险 远程进ERP软件验收,数据恢复率99-100%。

综合对比

需恢复所有文件,且要求数据100%完整的,只能选择数据解密。但解密费用特别高,只能听黑客摆布,存在被骗的风险



勒索病毒 加密文件 底层分析

我们工程师经过对各类勒索病毒加密的数据进行底层分析,加密方式各有不同,恢复方法和技术也需要具体分析:

1.文件头部被加密或清空,并在文件尾部生产加密信息,但文件主体还是完好的,此种类型数据可以进行修复,特别是数据库文件,目前我们能对ms sql /my sql /oracel/access等常用数据库进行完美修复,修复的费用远远低于赎金,修复后,先验证数据,确认后再收费,安全有保障。

2.文件底层每间隔N扇区加密N扇区,并在文件尾部生产加密信息,具体间隔多少扇区和加密多少扇区各有不同,因文件主体大部分被加密,直接修复难度极大。如果是数据库文件,且备份文件较多,或有未被加密较新的备份文件,也能较好修复。

3.文件底层全部被加密,并在文件尾部产生加密信息,此种加密,目前无人能修复和解密,**的途径就是交赎金,拿到黑客的解密程序和秘钥。国内还有些公司大言不惭的说能解密云云,都是忽悠的。简单想想就能明白,勒索病毒爆发以来,全球都面临数据安全威胁,这么多国际安全厂商卡巴斯基、趋势,国内的绿盟、360、瑞星等等,都无能为力,更何况几个人的数据恢复公司都能解决,目前国内所有解密都是向黑客交赎金。


支持mssql mysql oracle sybase access sqlite mongodb postgresql interbase firebird等数据库。
大量成功案例,无论怎样加密都有解决方案.欢迎咨询、

mssql 文件 .MDF .NDF .LDF .BAK         mysql 文件   .MYD .IBD .IBDATA1 .SQL

mariadb 文件 .MYD .IBD .IBDATA1   .MAD .SQL       oracle 文件 .DBF   .ORA .DMP (EXPDMP)

access 文件 .MDB .ACCDB       sybase 文件 .DAT .DB      interbase 文件.GDB .IB .GBK .FBK

Firebird 文件 .FDB .dbf .FBK      mongodb   文件   .wt   .0 .1 .2 .3 .4 .5 .BSON 等

Exchange 文件 EDB STM .BAK      PostgreSQL 数据库文件     等数据库文件 不限于此

以及 .BAK   .SQL   .dmp   .dump .db .GBK   .FBK   .BSON等备份文件及压缩包文件 zip rar 7z gz tar等.

支持常见数据库全部版本

  不成功不收费,100%可以恢复加密数据库及备份和大型压缩包等数据。 请勿放弃. 提供最新勒索病毒解密及恢复服务 扩展名一般不限制。最近常见的有:

勒索后缀1.jpg

勒索病毒能修复的原因:

1 数据库被完全加密 这种 加密前往往都有文件副本 加密完成删除副本文件,所以我们可以通过分区恢复文件。

2 99.9%的加密库数据库前面0.01MB- 最多16MB被加密,我们可以通过表结构来匹配页面来提取数据库表数据。下图是一个被加密前5mb的文件


  加密和未加密区域的对比,不难看出,病毒只是对某个扇区或页进行加密,每隔X扇区有规律的加密一次,我们可以根据其规律在未加密的区域提取表数据 也可直接重建为新的数据库直接被ERP或者财务软件使用。对于有近期未加密的备份或加密较少的数据库,人工可以直接将加密库完全修复 直接被程序使用.

苏公网安备 32050802011072号