比特币勒索文件加密恢复之babyk加密

某客户的windows环境上的所有文件都被比特币勒索加密,其加密后缀名为babyk。数据库不算很大,所以我让客户把加密的oracle数据文件打包给我。

可以看到所有数据文件都有一个加密后缀名babyk。

黑客的勒索-How To Restore Your Files.txt内容为:

黑客的勒索价格为10000美元。强烈建议不要轻信黑客,已经出现过很多客户抱怨付了款之后并未黑客并未恢复。

我自己写了一个简单的shell脚本,可以判断oracle数据文件的加密范围,如果加密比例比较低的话,那么原则上可以通过odu等抽取工具把未加密的数据抽取出来,达到最大程度的恢复。

运行检查脚本,会输出一个error.log可以看到加密范围

可以看到,bybak类型的勒索加密对于oracle数据文件是间隔加密,规律为每10M会加密1M,那么粗略计算的话,恢复比例应该在90%左右。

但是由于system有很多字典数据会被加密,所以在恢复时,会非常麻烦,因为odu抽取数据恢复是非常需要数据字典信息的。如果有之前整库exp或者expdp的逻辑备份是最好的,正好这个客户有一个2个月前的expdp备份,可以通过expdp备份来重构odu的字典信息。

重构字典之后,可以顺利的把未加密的数据全部抽取出来。例如:

表MD_DB_RELATION的640条数据就这样抽取出来了。

如果有朋友不幸遭遇了比特币勒索加密的问题,想要恢复oracle/mysql/sql server可以联系我。联系方式18685078367。

此条目发表在Oracle, Oracle Recover分类目录,贴了, , 标签。将固定链接加入收藏夹。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注