从勒索病毒加密的文件中成功恢复数据-全球快播

勒索病毒

家里有台电脑通过路由器端口映射开放了远程桌面访问，但由于其中一个账号存在弱口令，导致密码被爆破。被植入了勒索病毒，硬盘里面的所有文件都被加密，导致去年的搬砖账号全部丢失。

根据我们多年面向搜索引擎的解决办法的经验，只要你搜索的足够多，积累足够的线索，那么解决问题是有希望。我们这次是根据“大文件只加密头部字节”的线索，实现恢复的。

失败的尝试

通搜索发现，早期的勒索病毒是先删除再加密小文件，可以通过删除恢复找回，很可惜这次的病毒不是早期的。

(资料图片)

继续搜索看很多数据库恢复的广告，他们为什么可以恢复呢，原来对于大文件而言，勒索病毒没办法快速对整个文件进行全量加密，只加密了头部字节。找他们花钱恢复是不可能的，这些数据有点鸡肋，属于丢了觉得可惜，花钱又值得。

考虑到配置文件是XML格式的，在模拟器的虚拟磁盘是有存档的，又开始了漫长的虚拟磁盘修复尝试，最终也以失败告终。

大道至简，高级的数据恢复，往往只需要简单的操作就可实现。

用Hxd打开被加密的模拟器虚拟磁盘文件，搜索<?xml直接看文件内容了。

既然文件是明文存储的，那么问题就简单了，直接来一段C#脚本就把的XML的<Map>节点读出来了。

Hxd搜索结果

C#脚本读取的虚拟磁盘文件

关键词：