通过勒索软件从部分加密的Firebird数据库恢复数据

Question

我们的测试服务器被黑客攻击了，他们安装了一个勒索软件(Cry36)，到目前为止还没有解决方案。我们也没有保持任何最新的快照(损伤学习)。

因为它只是一个测试服务器，所以我不太担心。但是我们已经在Firebird DB (v2.5)中存储了一堆我想保存的工作。在十六进制编辑器中查看数据库，我可以看到数据一直加密到偏移量00006430。查看firebird数据库的结构，它表明所有的标头都是加密的(标头页，PIP，...，数据页)。

所有数据都还在那里。

我尝试过使用gfix，甚至从旧版本的db中复制头文件。但是，虽然它确实修复了数据库，但标题是错误的，并且大多数新页面都被删除了。

有没有人知道如何恢复数据库或提取表？

问候

Answer 1

我使用这种方法从任何勒索软件中恢复在硬盘驱动器上加密的勒索软件文件，方法是将有问题的文件重命名回其原始文件名和扩展名。您可以应用相同的方法将数据或数据库恢复到文件或数据库的预加密版本。

在我的测试中：

赎回文件=被压缩和/或简单地重命名，加密实际上并不应用，而只是隐含的，或者包含的文件或重命名的文件被加密，但原始文件从未被触及。只需重命名回原来的名称，您就可以访问该文件，因为您可以为攻击。示例：

这是赎回的文件：

Adobe Acrobat XI Pro 11.0.20.zip.id[42AF04FF-2275].[supportcrypt2019@cock.li].Adame

这是已赎回的文件，已重命名并修复：

Adobe Acrobat XI Pro 11.0.20.zip

删除的FileName部分为：

.id[42AF04FF-2275].[supportcrypt2019@cock.li].Adame

重命名文件后，系统将提示您批准更改将打开文件的应用程序类型/文件类型(返回到其原始状态)，以及将打开文件的应用程序(其原始名称由FileName之后的FileType预设确定)。赎回时文件无法工作的原因是最终的文件扩展名重命名方案，而本例中的不是真正的文件类型，而是虚构的，没有任何程序将或能够打开它。因此，该文件不能以指定的名称打开。

你需要为每个文件单独做这件事，你可以发布更多关于数据库文件和加密信息的信息，因为这对你来说也应该是有效的。兰瑟姆方法应该是相同的。如果没有更多关于注入到实例中的异常或新的/未识别的代码部分的信息，我无法识别系统上使用的命名方案。

要重命名多个文件，您可以尝试使用诸如"Advanced Renamer"之类的应用程序进行批量处理。