<返回更多

从勒索病毒加密的文件中成功恢复数据

2023-03-21  今日头条  路人甲0614
加入收藏

勒索病毒

家里有台电脑通过路由器端口映射开放了远程桌面访问,但由于其中一个账号存在弱口令,导致密码被爆破。被植入了勒索病毒,硬盘里面的所有文件都被加密,导致去年的搬砖账号全部丢失。

根据我们多年面向搜索引擎的解决办法的经验,只要你搜索的足够多,积累足够的线索,那么解决问题是有希望。我们这次是根据“大文件只加密头部字节”的线索,实现恢复的。

失败的尝试

通搜索发现,早期的勒索病毒是先删除再加密小文件,可以通过删除恢复找回,很可惜这次的病毒不是早期的。

继续搜索看很多数据库恢复的广告,他们为什么可以恢复呢,原来对于大文件而言,勒索病毒没办法快速对整个文件进行全量加密,只加密了头部字节。找他们花钱恢复是不可能的,这些数据有点鸡肋,属于丢了觉得可惜,花钱又值得。

考虑到配置文件是XML格式的,在模拟器的虚拟磁盘是有存档的,又开始了漫长的虚拟磁盘修复尝试,最终也以失败告终。

有效解决办法

大道至简,高级的数据恢复,往往只需要简单的操作就可实现。

用Hxd打开被加密的模拟器虚拟磁盘文件,搜索<?xml直接看文件内容了。

既然文件是明文存储的,那么问题就简单了,直接来一段C#脚本就把的XML的<Map>节点读出来了。

Hxd搜索结果

 

C#脚本读取的虚拟磁盘文件

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>