今天服务器中了这个病毒,联系了360等都说无解,没办法只好联系了黑客,居然要7万赎金,吐血。没那么多钱,只好自己分析了。
发现其加密数据有以下特点:
1:在每个加密文件末尾附加1296个字节,这个应该是病毒代码
2:对于大文件,只加密前256K。因为电脑上文件很多,全部加密效率很低,这应该是黑客偷懒了
我的sql文件有备份,433M大小,用二进制打开看,果然只加密了前面256K。而前面这些大部分是是字段说明等,可以拿一个好得文件的过来替换。
于是就照做了,恢复后导入数据库发现很多错误,仔细检查文件,原来黑客也发现了第二点,他改进了,在大文件中每隔一段距离,就再加密256K,太坏了。
没有办法,只好丢弃这部分,最后433M的文件,丢弃了3M,算是恢复了99%吧,重要的信息基本都还在。
发现其加密数据有以下特点:
1:在每个加密文件末尾附加1296个字节,这个应该是病毒代码
2:对于大文件,只加密前256K。因为电脑上文件很多,全部加密效率很低,这应该是黑客偷懒了
我的sql文件有备份,433M大小,用二进制打开看,果然只加密了前面256K。而前面这些大部分是是字段说明等,可以拿一个好得文件的过来替换。
于是就照做了,恢复后导入数据库发现很多错误,仔细检查文件,原来黑客也发现了第二点,他改进了,在大文件中每隔一段距离,就再加密256K,太坏了。
没有办法,只好丢弃这部分,最后433M的文件,丢弃了3M,算是恢复了99%吧,重要的信息基本都还在。
