勒索病毒

家里有臺(tái)電腦通過路由器端口映射開放了遠(yuǎn)程桌面訪問，但由于其中一個(gè)賬號(hào)存在弱口令，導(dǎo)致密碼被爆破。被植入了勒索病毒，硬盤里面的所有文件都被加密，導(dǎo)致去年的搬磚賬號(hào)全部丟失。

根據(jù)我們多年面向搜索引擎的解決辦法的經(jīng)驗(yàn)，只要你搜索的足夠多，積累足夠的線索，那么解決問題是有希望。我們這次是根據(jù)“大文件只加密頭部字節(jié)”的線索，實(shí)現(xiàn)恢復(fù)的。

失敗的嘗試

通搜索發(fā)現(xiàn)，早期的勒索病毒是先刪除再加密小文件，可以通過刪除恢復(fù)找回，很可惜這次的病毒不是早期的。

繼續(xù)搜索看很多數(shù)據(jù)庫恢復(fù)的廣告，他們?yōu)槭裁纯梢曰謴?fù)呢，原來對(duì)于大文件而言，勒索病毒沒辦法快速對(duì)整個(gè)文件進(jìn)行全量加密，只加密了頭部字節(jié)。找他們花錢恢復(fù)是不可能的，這些數(shù)據(jù)有點(diǎn)雞肋，屬于丟了覺得可惜，花錢又值得。

考慮到配置文件是XML格式的，在模擬器的虛擬磁盤是有存檔的，又開始了漫長(zhǎng)的虛擬磁盤修復(fù)嘗試，最終也以失敗告終。

有效解決辦法

大道至簡(jiǎn)，高級(jí)的數(shù)據(jù)恢復(fù)，往往只需要簡(jiǎn)單的操作就可實(shí)現(xiàn)。

用Hxd打開被加密的模擬器虛擬磁盤文件，搜索<?xml直接看文件內(nèi)容了。

既然文件是明文存儲(chǔ)的，那么問題就簡(jiǎn)單了，直接來一段C#腳本就把的XML的<Map>節(jié)點(diǎn)讀出來了。

Hxd搜索結(jié)果

C#腳本讀取的虛擬磁盤文件