家里有台电脑通过路由器端口映射开放了远程桌面访问,但由于其中一个账号存在弱口令,导致密码被爆破。被植入了勒索病毒,硬盘里面的所有文件都被加密,导致去年的搬砖账号全部丢失。
根据我们多年面向搜索引擎的解决办法的经验,只要你搜索的足够多,积累足够的线索,那么解决问题是有希望。我们这次是根据“大文件只加密头部字节”的线索,实现恢复的。
通搜索发现,早期的勒索病毒是先删除再加密小文件,可以通过删除恢复找回,很可惜这次的病毒不是早期的。
继续搜索看很多数据库恢复的广告,他们为什么可以恢复呢,原来对于大文件而言,勒索病毒没办法快速对整个文件进行全量加密,只加密了头部字节。找他们花钱恢复是不可能的,这些数据有点鸡肋,属于丢了觉得可惜,花钱又值得。
考虑到配置文件是XML格式的,在模拟器的虚拟磁盘是有存档的,又开始了漫长的虚拟磁盘修复尝试,最终也以失败告终。
大道至简,高级的数据恢复,往往只需要简单的操作就可实现。
用Hxd打开被加密的模拟器虚拟磁盘文件,搜索<?xml直接看文件内容了。
既然文件是明文存储的,那么问题就简单了,直接来一段C#脚本就把的XML的<Map>节点读出来了。
Hxd搜索结果
C#脚本读取的虚拟磁盘文件