勒索病毒數據恢復,數據庫解密
瀏覽量: 次 發布日期:2018-12-07 22:37:03
勒索病毒數據恢復
一般來說,勒索病毒文件恢復的方式有兩種解決方案:一是文件修復,二是數據解密。兩種方案有何區別?大家又該如何選擇呢?
恢復對象:文件修復主要對Mssql、my sql、oracel數據庫文件進行修復;數據解密是對全部文件進行解密。
恢復要求:文件修復需提供未被加密的相同數據庫的文件備份,或相同數據庫的空庫文件;數據解密是不需要提供任何文件的。
恢復時間:文件修復是根據加密情況、文件大小、修復難度決定。需將加密庫文件及備份發給工程師進行分析、評估而定。而數據解密一般需要1-2天。
恢復效果:文件修復需視破壞的情況而定;數據解密則是完全恢復。
恢復費用:文件修復費用低,一般是解密費用的10%-50%不等;數據解密費用明顯高于文件修復的費用。
綜合分析:
如客戶只需恢復數據庫文件,且有老的備份文件,即可選擇單個文件修復,很多案例上,正大可以做到100%修復,修復后的數據庫與軟件完美連接,直接運行使用,而且修復費用遠遠低于解密。溫馨提示:請盡量提供未被加密的老備份或者同結構的空庫文件,備份文件越新,將大大提高修復效果和減少修復時間。
如所有文件都必須恢復,且要求數據100%完整,那么只能選擇數據解密。
很多技術員,程序員,網管,看到服務器的數據被加密了,服務進程被停止了,文件名在一個個的神奇的改變,頓時慌了神,對于第一個發現病毒作案現場的目擊者,應該如何應對和處理這種突發的攻擊呢?
根據我們多年的數據恢復與病毒解密處理經驗,我們認為發現病毒加密數據之后應該立即做如下幾點:
1:立即斷網;
2:立即檢查病毒加密時間。(觀察文件修改時間)
規則A:立即斷電或關機。若勒索加密病毒運行加密的時間在0-2小時內,根據你的主機文件個數和數據容量多少,一般情況下1小時內病毒會加密完成,若你的文件個數和容量比較大,病毒加密時間會時間更長。
規則B:不要關機,如果你發現加密時間已經超過5小時以上,這是你就是關機也沒有用了,所以建議不要關機,這是病毒進程還在內存,對于破解病毒來說,很多密鑰可能在內存或緩存文件,這樣會導致這些重要的數據丟失或改變或覆蓋,不利于后面的數據解密。
3:殺毒軟件;
往往中毒的主機殺毒軟件都沒有防守住,所以它殺不掉病毒,目前據我們的統計,殺毒軟件是無法直接解密數據的,所以一般情況下,無需運行殺毒軟件(此時殺毒軟件進程多數被終止了),也無需安裝新的殺毒軟件,因為這些操作都會刪除部分感染文件,對于重要被感染的數據萬一被殺毒軟件清除,就不利于數據恢復。
4:尋找專業機構;
數據被病毒加密勒索,十萬火急,特別是wallet病毒,往往加密對象是服務器主機,嚴重影響企業日常運行,但是我們建議是,慌亂之中不要急。堅持專業途徑解決問題。
規則A:勒索病毒惡性程度很高,采用高級的加密算法,非專業人士自己不要嘗試,以免感染別的主機擴大故障
規則B:尋求專業的數據恢復公司,尋找專業人員協助解密。
規則C:另外黑客犯罪分子一般在國外,支付比特幣贖金后如何保障貨款安全,風險極大,我們已經碰到過用戶付錢后,仍然無法解密數據的案例。
勒索病毒目前情況:
一、勒索病毒簡介
勒索病毒是黑客通過鎖屏、加密等方式劫持用戶設備或文件,并以此敲詐用戶錢財的惡意軟件。黑客利用系統漏洞或通過網絡釣魚等方式,向受害電腦或服務器植入病毒,加密硬盤上的文檔乃至整個硬盤,然后向受害者索要數額不等的贖金后才予以解密,如果用戶未在指定時間繳納黑客要求的金額,被鎖文件將無法恢復。
二、勒索病毒發展史
1、勒索病毒第一階段:不加密數據,提供贖金解鎖設備
2008年以前,勒索病毒通常不加密用戶數據,只鎖住用戶設備,阻止用戶訪問,需提供贖金才能解鎖。期間以LockScreen 家族占主導地位。由于它不加密用戶數據,所以只要清除病毒就不會給用戶造成任何損失。由于這種病毒帶來的危害都能被很好的解決,所以該類型的勒索軟件只是曇花一現,很快便消失了。
圖:LockScreen勒索截圖
2、勒索病毒第二階段:加密數據,提供贖金解鎖文件
2013年,以加密用戶數據為手段勒索贖金的勒索軟件逐漸出現,由于這類勒索軟件采用了一些高強度的對稱和非對稱的加密算法對用戶文件加密,在無法獲取私鑰的情況下要對文件進行解密,以目前的計算水平幾乎是不可能完成的事情。正是因為這一點,該類型的勒索軟件能夠帶來很大利潤,各種家族如雨后春筍般出現,比較著名的有CTB-Locker、TeslaCrypt、Cerber等。
圖:Tesla勒索截圖
3、勒索病毒第三階段:蠕蟲化傳播,攻擊網絡中其它機器
2017年,勒索病毒已經不僅僅滿足于只加密單臺設備,而是通過漏洞或弱口令等方式攻擊網絡中的其它機器, WannaCry就屬于此類勒索軟件,短時間內造成全球大量計算機被加密,其影響延續至今。另一個典型代表Satan勒索病毒,該病毒不僅使用了永恒之藍漏洞傳播,還內置了多種web漏洞的攻擊功能,相比傳統的勒索病毒傳播速度更快。雖然已經被解密,但是此病毒利用的傳播手法卻非常危險。
一般來說,勒索病毒文件恢復的方式有兩種解決方案:一是文件修復,二是數據解密。兩種方案有何區別?大家又該如何選擇呢?
恢復對象:文件修復主要對Mssql、my sql、oracel數據庫文件進行修復;數據解密是對全部文件進行解密。
恢復要求:文件修復需提供未被加密的相同數據庫的文件備份,或相同數據庫的空庫文件;數據解密是不需要提供任何文件的。
恢復時間:文件修復是根據加密情況、文件大小、修復難度決定。需將加密庫文件及備份發給工程師進行分析、評估而定。而數據解密一般需要1-2天。
恢復效果:文件修復需視破壞的情況而定;數據解密則是完全恢復。
恢復費用:文件修復費用低,一般是解密費用的10%-50%不等;數據解密費用明顯高于文件修復的費用。
如客戶只需恢復數據庫文件,且有老的備份文件,即可選擇單個文件修復,很多案例上,正大可以做到100%修復,修復后的數據庫與軟件完美連接,直接運行使用,而且修復費用遠遠低于解密。溫馨提示:請盡量提供未被加密的老備份或者同結構的空庫文件,備份文件越新,將大大提高修復效果和減少修復時間。
如所有文件都必須恢復,且要求數據100%完整,那么只能選擇數據解密。
很多技術員,程序員,網管,看到服務器的數據被加密了,服務進程被停止了,文件名在一個個的神奇的改變,頓時慌了神,對于第一個發現病毒作案現場的目擊者,應該如何應對和處理這種突發的攻擊呢?
根據我們多年的數據恢復與病毒解密處理經驗,我們認為發現病毒加密數據之后應該立即做如下幾點:
1:立即斷網;
2:立即檢查病毒加密時間。(觀察文件修改時間)
規則A:立即斷電或關機。若勒索加密病毒運行加密的時間在0-2小時內,根據你的主機文件個數和數據容量多少,一般情況下1小時內病毒會加密完成,若你的文件個數和容量比較大,病毒加密時間會時間更長。
規則B:不要關機,如果你發現加密時間已經超過5小時以上,這是你就是關機也沒有用了,所以建議不要關機,這是病毒進程還在內存,對于破解病毒來說,很多密鑰可能在內存或緩存文件,這樣會導致這些重要的數據丟失或改變或覆蓋,不利于后面的數據解密。
3:殺毒軟件;
往往中毒的主機殺毒軟件都沒有防守住,所以它殺不掉病毒,目前據我們的統計,殺毒軟件是無法直接解密數據的,所以一般情況下,無需運行殺毒軟件(此時殺毒軟件進程多數被終止了),也無需安裝新的殺毒軟件,因為這些操作都會刪除部分感染文件,對于重要被感染的數據萬一被殺毒軟件清除,就不利于數據恢復。
4:尋找專業機構;
數據被病毒加密勒索,十萬火急,特別是wallet病毒,往往加密對象是服務器主機,嚴重影響企業日常運行,但是我們建議是,慌亂之中不要急。堅持專業途徑解決問題。
規則A:勒索病毒惡性程度很高,采用高級的加密算法,非專業人士自己不要嘗試,以免感染別的主機擴大故障
規則B:尋求專業的數據恢復公司,尋找專業人員協助解密。
規則C:另外黑客犯罪分子一般在國外,支付比特幣贖金后如何保障貨款安全,風險極大,我們已經碰到過用戶付錢后,仍然無法解密數據的案例。
一、勒索病毒簡介
勒索病毒是黑客通過鎖屏、加密等方式劫持用戶設備或文件,并以此敲詐用戶錢財的惡意軟件。黑客利用系統漏洞或通過網絡釣魚等方式,向受害電腦或服務器植入病毒,加密硬盤上的文檔乃至整個硬盤,然后向受害者索要數額不等的贖金后才予以解密,如果用戶未在指定時間繳納黑客要求的金額,被鎖文件將無法恢復。
二、勒索病毒發展史
1、勒索病毒第一階段:不加密數據,提供贖金解鎖設備
2008年以前,勒索病毒通常不加密用戶數據,只鎖住用戶設備,阻止用戶訪問,需提供贖金才能解鎖。期間以LockScreen 家族占主導地位。由于它不加密用戶數據,所以只要清除病毒就不會給用戶造成任何損失。由于這種病毒帶來的危害都能被很好的解決,所以該類型的勒索軟件只是曇花一現,很快便消失了。
圖:LockScreen勒索截圖
2、勒索病毒第二階段:加密數據,提供贖金解鎖文件
2013年,以加密用戶數據為手段勒索贖金的勒索軟件逐漸出現,由于這類勒索軟件采用了一些高強度的對稱和非對稱的加密算法對用戶文件加密,在無法獲取私鑰的情況下要對文件進行解密,以目前的計算水平幾乎是不可能完成的事情。正是因為這一點,該類型的勒索軟件能夠帶來很大利潤,各種家族如雨后春筍般出現,比較著名的有CTB-Locker、TeslaCrypt、Cerber等。
圖:Tesla勒索截圖
3、勒索病毒第三階段:蠕蟲化傳播,攻擊網絡中其它機器
2017年,勒索病毒已經不僅僅滿足于只加密單臺設備,而是通過漏洞或弱口令等方式攻擊網絡中的其它機器, WannaCry就屬于此類勒索軟件,短時間內造成全球大量計算機被加密,其影響延續至今。另一個典型代表Satan勒索病毒,該病毒不僅使用了永恒之藍漏洞傳播,還內置了多種web漏洞的攻擊功能,相比傳統的勒索病毒傳播速度更快。雖然已經被解密,但是此病毒利用的傳播手法卻非常危險。
相關推薦
QQ客服