破壳分析Globeimposter-Alpha666qqz勒索病毒Globeimposter-Alpha666qqz文件解密恢复
作者:互联网
深度探索Globeimposter-Alpha666qqz勒索病毒,和恢复方案:
Globeimposter-Alpha666qqz勒索病毒属于GlobeImposter勒索病毒家族,这种病毒是一种新的变体病毒,之前的版本是Globeimposter-Alpha865qqz。
在我其他文章中有介绍,数据库病毒文件可以技术修复,但是Alpha865qqz这种病毒除外,因为这种病毒的加密规则非常霸道,会把文件整个完全加密,无法提取数据进行修复。
经过分析新变体Globeimposter-Alpha666qqz病毒文件的加密规则有所改变,这种病毒文件内容加密是隔断加密,可以技术修复,只是修复的比例预计在80%-95%很难做到100%,部分客户接受不了这种结果。
工具分析情况如下
从工具中不难看出,前半部分属于加密部分,后半部分属于非加密部分,其实在这个截图的样本中我分析过60%左右的数据是没有被加密的,如果能提供跟多的bak备份文件,去提取未加密碎片组装后95%的修复成功率是很大的。对于数据库修复很多业内技术都做不到提取bak碎片,或者更深入的提取电脑镜像数据碎片来完成修复。如果上面的例子,如果能通过技术手段从别的素材中提取碎片,能做到95%甚至100%。
下面来说说,非数据库文件修复,例如:图片,文档,视频,表格等等之类的,这些文件因为不想数据库文件那么大,也没有数据库文件那么有文件结构,再加上这种文件往往很多,很杂,所以技术修复就变得有心无力。
建议:如果文件不重要就格式化,重装系统,放弃恢复。如果文件实在重要也有办法处理,别的文章中也有提到,只是费用比较高。因为每台电脑加密情况会不一样,所以还是得具体情况具体分析。
这里有一篇,针对文件处理恢复方案,仅供参考:https://www.cnblogs.com/qq2407971992/p/14452059.html
标签:文件,加密,修复,破壳,Globeimposter,Alpha666qqz,病毒 来源: https://blog.csdn.net/weixin_49591141/article/details/114213304