我们的测试服务器被黑了,他们安装了勒索软件(Cry36),迄今为止没有解决方案。我们也没有保持最新的快照(病变学习)。
由于它只是一个测试服务器,我不是太担心。但是我们在Firebird DB(v2.5)中存储了一堆我想保存的工作。 在十六进制编辑器中查看数据库,我可以看到数据已加密,直到偏移00006430。 查看firebird数据库的结构,它表示所有标头都已加密(标题页,PIP,...,数据页)。
所有数据仍在那里。
我尝试过使用gfix,甚至从旧版本的db中复制标头。但是虽然它确实修复了数据库,但标题是错误的,大多数新页面都被删除了。
有没有人知道如何恢复数据库或提取表格?
此致
答案 0 :(得分:0)
我已使用此方法从任何勒索软件恢复硬盘上加密的勒索软件文件,方法是将相关文件重命名为其原始文件名和扩展名。您可能可以应用相同的方法将数据或数据库恢复为文件或数据库的预加密版本。
根据我的测试:
被勒索的文件 =被压缩和/或简单地重命名,加密实际上没有应用,只是暗含的,或者包含文件或重命名的文件被加密,但从未触及原始文件。只需将其重命名为原始文件,就可以像攻击一样访问该文件。示例:
这是赎回文件:
Adobe Acrobat XI Pro 11.0.20.zip.id[42AF04FF-2275].[supportcrypt2019@cock.li].Adame
这是Ransomed文件,已重命名并修复:
Adobe Acrobat XI Pro 11.0.20.zip
已删除的FileName部分是:
.id[42AF04FF-2275].[supportcrypt2019@cock.li].Adame
重命名文件后,将提示您更改文件的应用程序类型/文件类型(将为其打开文件)(返回其原始状态),以及将打开哪个应用程序(其原始名称由FileName之后的FileType预设确定。被赎回后文件无法工作的原因是最终的文件扩展名重命名方案,而在这种情况下.ADAME不是真实的文件类型,但是没有任何程序将无法打开它。
您可能需要分别为每个文件执行此操作,是否可以将更多信息发布到数据库文件和加密信息上,因为这也同样适用。赎金方法应相同。如果没有更多有关在整个实例中注入的异常或新的/未识别的代码部分的信息,我将无法确定系统上使用的命名方案。
要重命名多个文件,可以尝试使用"Advanced Renamer"之类的应用程序进行批量处理。