比特币勒索文件加密恢复之babyk加密

某客户的windows环境上的所有文件都被比特币勒索加密，其加密后缀名为babyk。数据库不算很大，所以我让客户把加密的oracle数据文件打包给我。

可以看到所有数据文件都有一个加密后缀名babyk。

黑客的勒索-How To Restore Your Files.txt内容为：

黑客的勒索价格为10000美元。强烈建议不要轻信黑客，已经出现过很多客户抱怨付了款之后并未黑客并未恢复。

我自己写了一个简单的shell脚本，可以判断oracle数据文件的加密范围，如果加密比例比较低的话，那么原则上可以通过odu等抽取工具把未加密的数据抽取出来，达到最大程度的恢复。

运行检查脚本，会输出一个error.log可以看到加密范围

可以看到，bybak类型的勒索加密对于oracle数据文件是间隔加密，规律为每10M会加密1M，那么粗略计算的话，恢复比例应该在90%左右。

但是由于system有很多字典数据会被加密，所以在恢复时，会非常麻烦，因为odu抽取数据恢复是非常需要数据字典信息的。如果有之前整库exp或者expdp的逻辑备份是最好的，正好这个客户有一个2个月前的expdp备份，可以通过expdp备份来重构odu的字典信息。

重构字典之后，可以顺利的把未加密的数据全部抽取出来。例如：

表MD_DB_RELATION的640条数据就这样抽取出来了。

如果有朋友不幸遭遇了比特币勒索加密的问题，想要恢复oracle/mysql/sql server可以联系我。联系方式18685078367。