最近勒索病毒又开始猖獗了,大量服务器中招,这两周已经处理了多起 Globeimposter-Alpha666qqz 后缀的勒索病毒加密数据库的修复。对于勒索病毒的前世今生就不赘述了,这里直接了当的分析勒索病毒的加密破坏情况以及补救措施。
一、勒索病毒如何破坏文件
勒索病毒有很多种类,不同的扩展名,每一种勒索病毒或变种的加密原理不是一模一样,但大多数的加密表现都是对文件头部的 2048 或 4096 个扇区、尾部部分扇区进行加密破坏,中间部分分段加密或不加密。也有全扇区加密的病毒,不过这种非常少,因为效率太低了,黑客大多不会采用这种加密方式。中勒索病毒后,由于文件的结构被加密破坏,所有文件都是无法使用的。而且勒索病毒加密算法采用的是非对称算法,想直接破解是不现实的。
二、中了勒索病毒怎么办
可以先在网上查找有没解密工具,如果是老款的勒索病毒,有可能是有加密工具放出的。这里注意一点,如果找到了解密工具,最好是先备份,再解密。因为如果版本不一致,会解密失败,但同时文件底层扇区会进行相应的解密修改,导致后期就算找到一致的解密工具或解密秘钥,都是没办法再成功解密的,因为加密信息已经不一致了。这里提供几个解密工具集下载地址:
No More Ransom :www.nomoreransom.org/zh/index.html
Emsisoft :www.emsisoft.com/ransomware-decryption-tools/
卡巴斯基:https://noransom.kaspersky.com/
MalwareHunterTeam :https://id-ransomware.malwarehunterteam.com/
三、交赎金解密能成功吗
交赎金大多数情况是可以解决问题的,但也有失败的,目前主要有两种情况,一是黑客这条线上,由于勒索病毒现在是一个产业链,主要由勒索病毒作者、传播渠道商 、勒索者组成,甚至还有代理人,一般勒索邮件并不是直接跟病毒制作者沟通,会有很多不可控因素。出现过交赎金(大多是虚拟货币比特币)后没有回应、二次勒索或提供了错误的解密秘钥后不再回应等情况。二是服务器端数据加密时被中断或存储空间满导致没有完全加密成功、服务器被多重加密或多个不同的勒索病毒加密等。如果加密信息不完整,这种是无法解密的,黑客自己也没办法。多重加密或多个病毒加密,则需要购买多个解密秘钥才行,有一个出了问题都无法完成解密。交赎金前,也要做好准备工作,防止二次损失。
四、除了解密能否数据恢复或修复
大多数公司或个人当下中的勒索病毒都是新款或新变种,没有解密工具,如果不想联系黑客解密或者黑客要价太高怎么办?之前说了,勒索病毒大多只是对文件底层扇区进行部分加密破坏,对于一个几百兆或几个 G 甚至几百 G 的数据库文件来说,很多扇区仍然是明文状态,加密的损坏页占比一般是很小的,这就决定了它的可修复性,不过普通的小文档、表格、照片等则基本没有修复的可能性,因为大多表现为全加密的密文状态。所以,如果不慎中了勒索病毒,数据库类的文件是可以不联系黑客解密,而进行数据修复的。当然,全扇区加密除外,这种目前除了解密没有其他办法。
五、哪些数据库可以进行修复
同样,数据库也有很多种,目前修复效果最好的就是 MS SqlServer 和 Oracle,其他类型数据库大多由于小文件太多,会表现为全加密状态,修复效果一般。总体来说,单个数据库文件越大,加密的坏页占比越低,完整度越高。目前,Oracle 数据库修复后一般表数据、包、存储过程、函数、索引、视图、触发、同义词等都可以正常。很多人搞不清什么是数据库,这里简单说明下,常见的财务软件、进销存管理软件、OA 办公软件、ERP 管理系统、收银软件、医药管理软件等都是基于数据库开发的,从应用软件角度来讲比如金蝶、用友、管家婆、浪潮、思讯、速达、泛微 OA、通达、畅捷通、美萍、畅想、航天信息、孚盟 ERP、鼎捷易飞、傲鹏、新页、拓步、医院 HIS 系统等如果中了勒索病毒,都可以进行数据库修复。
目前,中了勒索病毒,除了交赎金解密、数据库修复,还有个方法:等。如果数据不是很迫切,可以是把数据备份好,等过一段时间(可能是数年)看有没有解密工具放出。关于病毒防护,网上有很多文章介绍安全设置及防护,可以参考,但不要指望这些设置和安全防护软件能万无一失,永远都是病毒攻击在前,病毒库或系统补丁更新防护在后,备份才是王道。