电脑的文件被勒索病毒加密,如何恢复?

发布网友 发布时间：2022-04-25 05:34

我来回答

共15个回答

懂视网 时间：2022-05-03 13:33

1，devos勒索病毒说明
phobos勒索病毒家族的一款变种勒索病毒近期频繁出现，该病毒会将文件后缀篡改为dewar或者devos，该病毒非常狡猾，近期就有一个客户服务器上的Oracle数据库遇到了该病毒。加密文件如下：

通过对底层存储数据的解析，发现该病毒有如下特点：

1. 会对服务器上后缀名为dbf、mdf、ibd的文件进行全加密。
2. 对其他类型的文件进行破坏，破坏规则为从文件头部开始清空256k，并且每间隔10g清空256k。

该病毒非常狡猾，会判断文件类型，专门对数据库数据文件进行全加密，这也让从加密的数据文件中抽取数据变成了一件不可能的事情，唯一的解决方法，就是找***解密。

在对加密文件分析过程中，我们发现该病毒并不会对rman备份文件或者expdp/exp的dmp文件进行全加密，这类文件会从文件头部开始清空256k，并且每间隔10g清空256k。这让我们的恢复产生了一些转机，可以通过rman备份或者dmp文件进行恢复。在本次案例中我们就是利用被加密后的文件来恢复客户的数据库。

2，利用RMAN备份还原数据库
咨询了客户是否有备份，客户防患意识非常好，定期对数据库做了rman备份。

2.1 分析RMAN加密后的文件
截取备份片前1G简单通过dd分析一下：

[root@test ~]# dd if=rman_1G.bak bs=8192 count=32|od -x
0000000 0000 0000 0000 0000 0000 0000 0000 0000
*
32+0 records in
32+0 records out
262144 bytes (262 kB) copied, 0.00326108 s, 80.4 MB/s

不出所料前256k确实被清空了。而且每隔10g还会清空256k(当然这里我们只截取了1g来分析)。

[root@test ~]# dd if=rman_1G.bak bs=8192 count=1 skip=129|od -x|head -1 
0 records in
0 records out
bytes (8.2 kB) copied, 6.2713e-05 s, 131 MB/s
a238 0000 0081 0040 d899 ed66 0da3 0401
[root@test ~]# dd if=rman_1G.bak bs=8192 count=1 skip=130|od -x|head -1 
0 records in
0 records out
bytes (8.2 kB) copied, 4.6691e-05 s, 175 MB/s
a238 0000 0082 0040 d899 ed66 0da3 0401
[root@lx ~]# dd if=rman_1G.bak bs=8192 count=1 skip=131|od -x|head -1 
0 records in
0 records out
bytes (8.2 kB) copied, 8.2504e-05 s, 99.3 MB/s
a238 0000 0083 0040 d899 ed66 0da3 0401

查看备份片后面一些的block发现块类型为0x38，当时有一种不良的预感，该备份很是压缩的备份集。这给整个恢复带来了非常大的难度。

rman备份默认采用basic压缩，测试使用的压缩算法为bzip2，有了此信息后，我们可以通过手动的方式将加密后的压缩文件进行解密。

3，还原的思路和过程
经过长达几个小时的分析研究，终于比较完美的实现了恢复，数据恢复95%以上达到了客户的要求。大致过程如下：

1. rman_backup_uncompres.exe d:ackup % d:ackupuncompres
2. 使用odu工具对解压的备份片把数据文件抽取出来
3. 使用odu工具对抽取出来的数据文件进行数据抽取
4. 将odu抽取文件导入新建数据库

4，注意事项
1，生产环境中一定要做数据库备份。
2，备份文件不能存放在数据库所在服务器上。
3，搭建数据库容灾环境，并且做好容灾环境的安全控制。

数据库遭遇.dewar或者.devos结尾的勒索病毒加密的恢复

标签：dmp文件   不能   res   dbf   数据   有一个   后缀名   类型   evo   

热心网友 时间：2022-05-03 10:41

先我们看到电脑中的文件进行感染，文件已经被加密，无法打开。

请点击输入图片描述

打开数据恢复软件，在界面找到找到“误格式化硬盘”选项点击进入。

请点击输入图片描述

点击后跳转至盘符选择界面，选择我们被感染加密文件所在的盘符分区，点击下一步。

请点击输入图片描述

此时软件会对硬盘分区盘符进行扫描，耐心等待完成扫描，扫描过程中请勿中断扫描。

请点击输入图片描述

扫描结束后我们可以看到扫描结果，如果是图片或者文本文档能够进行内容预览，勾选要恢复的文件，如果想要恢复全部文件，可以点击“全选”，选择全部文件，然后点击“下一步”。

请点击输入图片描述

点击“浏览”按钮选择文件恢复后的储存位置，点击下一步。

请点击输入图片描述

耐心等待恢复成功跳转至恢复成功界面，点击“打开目录”即可看到我们被加密的文件已经恢复了。

请点击输入图片描述

END

注意事项

恢复后将文件备份，重装系统，避免再次感染。

热心网友 时间：2022-05-03 11:59

好吧，作为一个遇过这种问题的人呢，很直接地说。到某广州找某黑某客，做中间人 交钱，换密钥。不要直接交，有中间人有保障~
不用怎么折腾，遇到这种问题。第一次时间拔网线，不然同个网络里所有电脑都有风险。然后等交钱，就这么简单。当时，公司的整个数据库都感染了，备份数据库被感染了80%+,问了主流做安全产品的厂商 都表示没办法。最好的预付手段就是没感染~感染到了就没了（某3某60，某锐某捷 某深信某服等大公司都没办法）
至于其他回答的恢复手段，没用的。都没实际去用过。这玩意一直在升级~已经形成了灰色产业链~对了，同网络其他电脑，建议数据备份，格式化硬盘，重装系统。你这台机子的硬盘数据找回来后 硬盘建议丢掉 不再使用
不懂继续问，满意请采纳

热心网友 时间：2022-05-03 13:34

您好，电脑电子表格文件被勒索病毒加密了，
目前没有有效的软件进行解锁的，
如果文件不重要的话。
您只能重装系统，
安装好以后，
你可以下载360拦截勒索病毒的软件。
望采纳，谢谢

热心网友 时间：2022-05-03 15:25

首先要彻底清除电脑里面的病毒文件，才能想办法重新恢复。
使用杀毒软件。对电脑进行全盘文件扫描。强力杀毒，如果可以完全解决。
再使用硬盘数据恢复软件。安装使用，尝试一下恢复想要的文件。
如果自己解决不了，最好是请专业的电脑技术人员进行处理。

热心网友 时间：2022-05-03 17:33

电脑里的文档建议经常的备份一下，养成一个好的习惯，这样可以避免文档丢失造成的损失。如果嫌麻烦的话，可以使用腾讯电脑管家里面的“文档守护者”，它可以监控全盘的文档，防止病毒对其加密、删除等异常操作

热心网友 时间：2022-05-03 19:58

1、最好的办法就是像上面反映，问一下公司的网管或者领导
2、让他们帮你想想办法或者找一些高手
3、也可以选择使用法律的手段来包含自己，去*报案吧
4、若还想了解更多电脑的问题推荐你安装驱动人生这个软件

热心网友 时间：2022-05-03 22:39

个人建议：用360系统急救箱或用360里面有个文档助手专门应对勒索病毒。

热心网友 时间：2022-05-04 01:37

发我几张被篡改的原始照片和那个勒索文本给我 我来试试

热心网友 时间：2022-05-04 04:52

下载并安装360安全卫士
在功能大全中点击“文件解密”，即可安装使用

点击“立即扫描”，自动识别被勒索病毒加密的文件，一键解密恢复。

如今，国内外仍流行着近百个家族的勒索病毒，360 安全卫士的“解密大师”集成了国内外各大专业安全机构发布的90%以上的解密工具，能有效破解80多种勒索病毒，是全球规模最大的勒索病毒“解密库”。

热心网友 时间：2022-05-04 08:23

可以用360文档卫士这个工具，360针对“敲诈者”病毒,全力出击,新推出了360文档卫士这个新软件,预防文件被篡改,保护您的文档安全,帮您进行自动备份,解决文档被加密,被恶意篡改的问题

热心网友 时间：2022-05-04 12:11

杀毒软件用了？

热心网友 时间：2022-05-04 16:16

格式化，重装，再用360处理（其勒索恢复）

360勒索病毒文件恢复神器免费|360勒索病毒文件恢复神器免费版 2.0..网页链接

热心网友 时间：2022-05-04 20:37

1不要乱动被加密的文件
2使用火绒专杀勒索工具恢复文件
3若法2失败 可到火绒论坛求助

热心网友 时间：2022-05-05 01:15

下载并安装360安全卫士，
在功能大全中点击“文件解密”，即可安装使用，
点击“立即扫描”，自动识别被勒索病毒加密的文件，一键解密恢复。
如今，国内外仍流行着近百个家族的勒索病毒，360 安全卫士的“解密大师”集成了国内外各大专业安全机构发布的90%以上的解密工具，能有效破解80多种勒索病毒，是全球规模最大的勒索病毒“解密库”。