破壳分析Globeimposter-Alpha666qqz勒索病毒Globeimposter-Alpha666qqz文件解密恢复

深度探索Globeimposter-Alpha666qqz勒索病毒，和恢复方案：

Globeimposter-Alpha666qqz勒索病毒属于GlobeImposter勒索病毒家族，这种病毒是一种新的变体病毒，之前的版本是Globeimposter-Alpha865qqz。

在我其他文章中有介绍，数据库病毒文件可以技术修复，但是Alpha865qqz这种病毒除外，因为这种病毒的加密规则非常霸道，会把文件整个完全加密，无法提取数据进行修复。

经过分析新变体Globeimposter-Alpha666qqz病毒文件的加密规则有所改变，这种病毒文件内容加密是隔断加密，可以技术修复，只是修复的比例预计在80%-95%很难做到100%，部分客户接受不了这种结果。

工具分析情况如下

从工具中不难看出，前半部分属于加密部分，后半部分属于非加密部分，其实在这个截图的样本中我分析过60%左右的数据是没有被加密的，如果能提供跟多的bak备份文件，去提取未加密碎片组装后95%的修复成功率是很大的。对于数据库修复很多业内技术都做不到提取bak碎片，或者更深入的提取电脑镜像数据碎片来完成修复。如果上面的例子，如果能通过技术手段从别的素材中提取碎片，能做到95%甚至100%。

下面来说说，非数据库文件修复，例如：图片，文档，视频，表格等等之类的，这些文件因为不想数据库文件那么大，也没有数据库文件那么有文件结构，再加上这种文件往往很多，很杂，所以技术修复就变得有心无力。

建议：如果文件不重要就格式化，重装系统，放弃恢复。如果文件实在重要也有办法处理，别的文章中也有提到，只是费用比较高。因为每台电脑加密情况会不一样，所以还是得具体情况具体分析。

这里有一篇，针对文件处理恢复方案，仅供参考：https://www.cnblogs.com/qq2407971992/p/14452059.html  

标签：文件,加密,修复,破壳,Globeimposter,Alpha666qqz,病毒
来源： https://blog.csdn.net/weixin_49591141/article/details/114213304