PHOBOS家族勒索信:
勒索信的内容:
eight后缀的勒索病毒为PHOBOS家族,病毒在对文件进行加密时,会识别被搜到的文件,如office文档,PPT,jpg,MP4,数据库等等文件,如果是此类文件,就进行加密,并对文件大小进行识别,如果是病毒自身释放的文件及系统运行必须的文件和程序,则不进行加密。
被加密为服装批发零售企业的为百胜系统的数据库,被加密后数据库MDF文件被全字节加密,如下图:
数据库有自己固定的存储格式,如果大面积出现这样的乱码,一是大文本,二是被加密了,如果是大文本,也是可以看到数据页的页头,因为页头有固定的格式,而且是从文件头开是就是乱码,一直到文件末尾。可以判定数据库被全文加密。想要恢复被全文加密的数据库,那就得有密钥对文件进行解密,但密钥是掌握在黑客手里的,要想得到密钥就只能向黑客交付赎金。那有没有其它办法呢?
经过沟通,了解到IT管理人员对数据库设置了自动备份,而且是全备,那备份文件会不会未被全文加密呢?在收到备份文件后,马上对备份文件进行分析。
被加密后的备份文件:
对备份文件进行分析:
可以很清楚的看到,数据备份文件内数据存放结构完整,未出现大面积的乱码现象,可以确定病毒在加密备份文件时并未进行全字节加密。分析过备份文件的朋友都应该知道,全备的数据库bak文件和MDF文件的结构是相同的,只要能修好备份文件,就可以对数据库进行还原。最终经过一天的时间,修好备份文件,数据库还原成功还原!!!