勒索病毒持續三年了,什么時候是個頭呢? 都是數字貨幣惹的禍;最近常見的病毒擴展名
.java
.CHAK
.RESERVE
.{techosupport@protonmail.com}XX .xx
.GOTHAM
.aleta
.arrow
.TRUE
.rapid
.FREEMAN
.WannaCry
.arena
.sexy
.UIWIX
.cobra
.block
.bunny
.whbs
.ALCO
.yoyo
.BIG2
等等
如果某天你發現自己的所有文件 都被改了擴展名 那就是加密了。 我們分析過大量的案例,可以總結以下幾點
1 病毒全加密所有文件,就是將文件 進行AES加密 這種加密前都會拷貝文件副本加密文件后刪除副本。
2 按 塊大小 8192字節 或1024 字節 每隔這個長度加密這個大小的字節 一般會破壞0.1-16MB 里面的數據。
3 某些勒索病毒只針對性將 MDF LDF oracle mysql等數據庫文件 文件頭塊加密 這種可以完全手工修正文件頭恢復,數據無損。
對於 第一種情況 可以用數據恢復軟件 或者 各類數據庫碎片恢復工具 從磁盤搜索副本。然后修復數據。
對於第二種情況 可以 通過加密文件來恢復數據,或者使用同樣結構的數據庫 進行結構修補 來提取數據,也可以使用表字段從加密庫提取數據。支持各類數據庫文件 備份文件及壓縮包
當然 下面還有四種方案 供大家參考
如果你自己嘗試恢復加密數據庫數據 市面上 有很多 軟件 例如 SQL數據庫修復大師之支持病毒數據庫恢復 Stellar Phoenix SQL Database Repair DataNumen SQL Recovery 等等
如果你想解密 數據庫 那么 要關注 各大殺毒軟件廠商 的開發的解密工具 下面是地址 BY 我試過 效果都不怎么樣。有的老版本加密的文件可以解掉
https://www.nomoreransom.org/zh/about-the-project.html
https://decrypter.emsisoft.com/
https://blog.avast.com/avast-releases-four-free-ransomware-decryptors
https://success.trendmicro.com/portal_kb_articledetail?solutionid=1114221
http://www.avg.com/ww-en/ransomware-decryption-tools
https://www.mcafee.com/us/downloads/free-tools/index.aspx
https://www.nomoreransom.org/decryption-tools.html
https://success.trendmicro.com/solution/1114221
http://media.kaspersky.com
https://noransom.kaspersky.com/?tool=crypted_yoshikada%40cock_lu
https://www.watchpointdata.com/ransomware-decryptors/
https://noransom.kaspersky.com/
https://labs.bitdefender.com/tag/bitdefender-ransomware-recognition/
防范問題 老套路就是打補丁 升級病毒庫,我倒覺得 裝個卡巴不錯。禁用遠程桌面 關閉危險端口。開通百度雲 將文件定期傳到百度雲。 我們自己研發的免疫方案,效果 不錯。成熟回向大家公開;如果你有很好的防范建議 不放交流下。為干凈的網絡環境出一把力、
勒索病毒一般都是按 文件擴展名 來挑選着加密,所以你可以將重要文件改成中文擴展名。