勒索病毒数据恢复,数据库解密
浏览量: 次 发布日期:2018-12-07 22:37:03
勒索病毒数据恢复
一般来说,勒索病毒文件恢复的方式有两种解决方案:一是文件修复,二是数据解密。两种方案有何区别?大家又该如何选择呢?
恢复对象:文件修复主要对Mssql、my sql、oracel数据库文件进行修复;数据解密是对全部文件进行解密。
恢复要求:文件修复需提供未被加密的相同数据库的文件备份,或相同数据库的空库文件;数据解密是不需要提供任何文件的。
恢复时间:文件修复是根据加密情况、文件大小、修复难度决定。需将加密库文件及备份发给工程师进行分析、评估而定。而数据解密一般需要1-2天。
恢复效果:文件修复需视破坏的情况而定;数据解密则是完全恢复。
恢复费用:文件修复费用低,一般是解密费用的10%-50%不等;数据解密费用明显高于文件修复的费用。
综合分析:
如客户只需恢复数据库文件,且有老的备份文件,即可选择单个文件修复,很多案例上,正大可以做到100%修复,修复后的数据库与软件完美连接,直接运行使用,而且修复费用远远低于解密。温馨提示:请尽量提供未被加密的老备份或者同结构的空库文件,备份文件越新,将大大提高修复效果和减少修复时间。
如所有文件都必须恢复,且要求数据100%完整,那么只能选择数据解密。
很多技术员,程序员,网管,看到服务器的数据被加密了,服务进程被停止了,文件名在一个个的神奇的改变,顿时慌了神,对于第一个发现病毒作案现场的目击者,应该如何应对和处理这种突发的攻击呢?
根据我们多年的数据恢复与病毒解密处理经验,我们认为发现病毒加密数据之后应该立即做如下几点:
1:立即断网;
2:立即检查病毒加密时间。(观察文件修改时间)
规则A:立即断电或关机。若勒索加密病毒运行加密的时间在0-2小时内,根据你的主机文件个数和数据容量多少,一般情况下1小时内病毒会加密完成,若你的文件个数和容量比较大,病毒加密时间会时间更长。
规则B:不要关机,如果你发现加密时间已经超过5小时以上,这是你就是关机也没有用了,所以建议不要关机,这是病毒进程还在内存,对于破解病毒来说,很多密钥可能在内存或缓存文件,这样会导致这些重要的数据丢失或改变或覆盖,不利于后面的数据解密。
3:杀毒软件;
往往中毒的主机杀毒软件都没有防守住,所以它杀不掉病毒,目前据我们的统计,杀毒软件是无法直接解密数据的,所以一般情况下,无需运行杀毒软件(此时杀毒软件进程多数被终止了),也无需安装新的杀毒软件,因为这些操作都会删除部分感染文件,对于重要被感染的数据万一被杀毒软件清除,就不利于数据恢复。
4:寻找专业机构;
数据被病毒加密勒索,十万火急,特别是wallet病毒,往往加密对象是服务器主机,严重影响企业日常运行,但是我们建议是,慌乱之中不要急。坚持专业途径解决问题。
规则A:勒索病毒恶性程度很高,采用高级的加密算法,非专业人士自己不要尝试,以免感染别的主机扩大故障
规则B:寻求专业的数据恢复公司,寻找专业人员协助解密。
规则C:另外黑客犯罪分子一般在国外,支付比特币赎金后如何保障货款安全,风险极大,我们已经碰到过用户付钱后,仍然无法解密数据的案例。
勒索病毒目前情况:
一、勒索病毒简介
勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件,并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式,向受害电脑或服务器植入病毒,加密硬盘上的文档乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将无法恢复。
二、勒索病毒发展史
1、勒索病毒第一阶段:不加密数据,提供赎金解锁设备
2008年以前,勒索病毒通常不加密用户数据,只锁住用户设备,阻止用户访问,需提供赎金才能解锁。期间以LockScreen 家族占主导地位。由于它不加密用户数据,所以只要清除病毒就不会给用户造成任何损失。由于这种病毒带来的危害都能被很好的解决,所以该类型的勒索软件只是昙花一现,很快便消失了。
图:LockScreen勒索截图
2、勒索病毒第二阶段:加密数据,提供赎金解锁文件
2013年,以加密用户数据为手段勒索赎金的勒索软件逐渐出现,由于这类勒索软件采用了一些高强度的对称和非对称的加密算法对用户文件加密,在无法获取私钥的情况下要对文件进行解密,以目前的计算水平几乎是不可能完成的事情。正是因为这一点,该类型的勒索软件能够带来很大利润,各种家族如雨后春笋般出现,比较著名的有CTB-Locker、TeslaCrypt、Cerber等。
图:Tesla勒索截图
3、勒索病毒第三阶段:蠕虫化传播,攻击网络中其它机器
2017年,勒索病毒已经不仅仅满足于只加密单台设备,而是通过漏洞或弱口令等方式攻击网络中的其它机器, WannaCry就属于此类勒索软件,短时间内造成全球大量计算机被加密,其影响延续至今。另一个典型代表Satan勒索病毒,该病毒不仅使用了永恒之蓝漏洞传播,还内置了多种web漏洞的攻击功能,相比传统的勒索病毒传播速度更快。虽然已经被解密,但是此病毒利用的传播手法却非常危险。
一般来说,勒索病毒文件恢复的方式有两种解决方案:一是文件修复,二是数据解密。两种方案有何区别?大家又该如何选择呢?
恢复对象:文件修复主要对Mssql、my sql、oracel数据库文件进行修复;数据解密是对全部文件进行解密。
恢复要求:文件修复需提供未被加密的相同数据库的文件备份,或相同数据库的空库文件;数据解密是不需要提供任何文件的。
恢复时间:文件修复是根据加密情况、文件大小、修复难度决定。需将加密库文件及备份发给工程师进行分析、评估而定。而数据解密一般需要1-2天。
恢复效果:文件修复需视破坏的情况而定;数据解密则是完全恢复。
恢复费用:文件修复费用低,一般是解密费用的10%-50%不等;数据解密费用明显高于文件修复的费用。
如客户只需恢复数据库文件,且有老的备份文件,即可选择单个文件修复,很多案例上,正大可以做到100%修复,修复后的数据库与软件完美连接,直接运行使用,而且修复费用远远低于解密。温馨提示:请尽量提供未被加密的老备份或者同结构的空库文件,备份文件越新,将大大提高修复效果和减少修复时间。
如所有文件都必须恢复,且要求数据100%完整,那么只能选择数据解密。
很多技术员,程序员,网管,看到服务器的数据被加密了,服务进程被停止了,文件名在一个个的神奇的改变,顿时慌了神,对于第一个发现病毒作案现场的目击者,应该如何应对和处理这种突发的攻击呢?
根据我们多年的数据恢复与病毒解密处理经验,我们认为发现病毒加密数据之后应该立即做如下几点:
1:立即断网;
2:立即检查病毒加密时间。(观察文件修改时间)
规则A:立即断电或关机。若勒索加密病毒运行加密的时间在0-2小时内,根据你的主机文件个数和数据容量多少,一般情况下1小时内病毒会加密完成,若你的文件个数和容量比较大,病毒加密时间会时间更长。
规则B:不要关机,如果你发现加密时间已经超过5小时以上,这是你就是关机也没有用了,所以建议不要关机,这是病毒进程还在内存,对于破解病毒来说,很多密钥可能在内存或缓存文件,这样会导致这些重要的数据丢失或改变或覆盖,不利于后面的数据解密。
3:杀毒软件;
往往中毒的主机杀毒软件都没有防守住,所以它杀不掉病毒,目前据我们的统计,杀毒软件是无法直接解密数据的,所以一般情况下,无需运行杀毒软件(此时杀毒软件进程多数被终止了),也无需安装新的杀毒软件,因为这些操作都会删除部分感染文件,对于重要被感染的数据万一被杀毒软件清除,就不利于数据恢复。
4:寻找专业机构;
数据被病毒加密勒索,十万火急,特别是wallet病毒,往往加密对象是服务器主机,严重影响企业日常运行,但是我们建议是,慌乱之中不要急。坚持专业途径解决问题。
规则A:勒索病毒恶性程度很高,采用高级的加密算法,非专业人士自己不要尝试,以免感染别的主机扩大故障
规则B:寻求专业的数据恢复公司,寻找专业人员协助解密。
规则C:另外黑客犯罪分子一般在国外,支付比特币赎金后如何保障货款安全,风险极大,我们已经碰到过用户付钱后,仍然无法解密数据的案例。
一、勒索病毒简介
勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件,并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式,向受害电脑或服务器植入病毒,加密硬盘上的文档乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将无法恢复。
二、勒索病毒发展史
1、勒索病毒第一阶段:不加密数据,提供赎金解锁设备
2008年以前,勒索病毒通常不加密用户数据,只锁住用户设备,阻止用户访问,需提供赎金才能解锁。期间以LockScreen 家族占主导地位。由于它不加密用户数据,所以只要清除病毒就不会给用户造成任何损失。由于这种病毒带来的危害都能被很好的解决,所以该类型的勒索软件只是昙花一现,很快便消失了。
图:LockScreen勒索截图
2、勒索病毒第二阶段:加密数据,提供赎金解锁文件
2013年,以加密用户数据为手段勒索赎金的勒索软件逐渐出现,由于这类勒索软件采用了一些高强度的对称和非对称的加密算法对用户文件加密,在无法获取私钥的情况下要对文件进行解密,以目前的计算水平几乎是不可能完成的事情。正是因为这一点,该类型的勒索软件能够带来很大利润,各种家族如雨后春笋般出现,比较著名的有CTB-Locker、TeslaCrypt、Cerber等。
图:Tesla勒索截图
3、勒索病毒第三阶段:蠕虫化传播,攻击网络中其它机器
2017年,勒索病毒已经不仅仅满足于只加密单台设备,而是通过漏洞或弱口令等方式攻击网络中的其它机器, WannaCry就属于此类勒索软件,短时间内造成全球大量计算机被加密,其影响延续至今。另一个典型代表Satan勒索病毒,该病毒不仅使用了永恒之蓝漏洞传播,还内置了多种web漏洞的攻击功能,相比传统的勒索病毒传播速度更快。虽然已经被解密,但是此病毒利用的传播手法却非常危险。
相关推荐
QQ客服