对勒索者病毒交赎金说NO!!!
勒索者病毒去年对用户造成的破坏,大家都已经有所了解,今年GandCrab勒索者病毒在10月份以三种不同的变种形式卷土重来,再次针对用户数据展开大范围强势攻击,致使很多国内多所高校遭到了网络攻击,还有相当一部分企事业单位的电脑也同样中招。
勒索者病毒将受害电脑的数据进行加密,让用户的数据无法使用,从而要求支付巨额赎金。不过支付赎金之后能否真能如愿解密电脑数据,尚不为人知。今年以来勒索者的此类攻击已经令企业和政府部门叫苦不迭,而席卷全球的勒索者病毒的影响也仍在持续,毫无减弱的趋势。
昨天辽宁省某医药集团公司技术部门总监联系到我们哈尔滨海鹏数据恢复中心, IBM服务器里做的RAID5磁盘阵列,最重要的数据是SQL SERVER 2008R2数据库,文件合计总共有45G大小,这么大的数据库里面的数据量可想而知,实属罕见。客户描述,服务器突然无法访问,经单位网络技术人员查看,所有文件扩展名都被加上了.CRAB字样,数据库文件也未能幸免。
每个文件夹里,都有一个CRAB-DECRYPT.TXT的文件,打开后,里面的内容大致是说,你的所有文件已经被加密了,如果想要解密请支付比特币,下面有黑客的邮箱地址,还有如何购买比特币的方法链接。客户里面有非常重要的资料,马上到年底单位要对所有往来账进行清帐,如果没有这些数据会对整个集团造成上千万的损失!!!客户最初的想法是给黑客写信,可写完信等了几个小时,黑客也没有回信。
建议大家前晚不要交赎金,因为交完赎金之后,黑客无法联系,只是一个付款页面,你付款或不付款,完全不知道有没有结果,到头来鸡飞蛋打、一无所获。
这个客户经朋友推荐,紧急联系到了哈尔滨海鹏数据恢复中心,这时候距离年底已经不到半个月时间非常紧张,客户也是忙中出错,花了几个小时传了个RAR压缩包过来,直接就说修复。我们解压出来一看里面的全是program Files的软件根本没有客户重要的数据库。客户这时候也慌了数据库找不到了。我们了解到情况后,紧急联系负责勒索者病毒的工程师通过远程协助的方式找到了客户的中毒数据库,经过缜密的分析初步判断恢复的几率应该很高,分析结构发现:数据库前面0.01MB、最多16MB被加密,我们可以通过表结构来匹配页面来提取数据库表数据。
最终经过努力奋战2天时间,哈尔滨海鹏数据恢复中心赶在年前成功的完美恢复出客户的数据。客户为了方便验证数据也是特地从辽宁千里迢迢赶过来,当面致谢。
哈尔滨海鹏数据恢复中心经过大量勒索者病毒的案例分析,可以总结以下几点:
1、病毒全加密所有文件,就是将文件进行AES加密,这种加密前都会拷贝文件副本加密文件后删除副本,可以通过数据恢复技术手段挽救数据。
2、按块大小8192字节或1024字节,每隔这个长度加密这个大小的字节,一般会破坏0.1MB—16MB里面的数据,可以通过数据恢复技术手段挽救数据。
3、某些勒索者病毒只针对性地将MDF、Oracle、MySQL等数据库文件的文件头块加密,这种可以完全手工修正文件头恢复,数据无损。
哈尔滨海鹏数据恢复中心提醒用户,发现勒索者病毒加密数据后,应该立即进行以下操作——
1、立即断网。
2、不要运行杀毒软件。往往中毒的主机杀毒软件都没有防守住,所以它杀不掉病毒,目前据我们的统计,杀毒软件是无法直接解密数据的,所以一般情况下,无需运行杀毒软件(此时杀毒软件进程多数被终止了),也无需安装新的杀毒软件,因为这些操作都会删除部分感染文件,对于重要被感染的数据万一被杀毒软件清除,就不利于数据恢复。
3、寻找专业数据恢复机构。数据被病毒加密勒索,十万火急,特别是勒索者病毒,往往加密对象是服务器主机,严重影响企业日常运行,但是我们建议是,慌乱之中不要急。坚持专业途径解决问题。
注意:勒索者病毒恶性程度很高,采用高级的加密算法,非专业人士自己不要尝试,以免感染别的主机扩大故障,寻求专业的数据恢复公司专业人员进行数据挽救。
不要轻易交纳赎金,这样会助长犯罪分子的气焰,另外黑客犯罪分子一般在国外,支付比特币赎金后如何保障数据安全,风险极大,我们已经碰到过用户付钱后,仍然无法解密数据的案例。