本文介绍在遭遇Lockbit勒索病毒且无密钥情况下,如何通过了解文件头信息恢复特定文件,如SQLServerMDF文件,利用数据库修复工具如StellarRepair和Aryson进行数据挽救。
目录
前言
在应急的过程中,时不时会遭遇lockbit勒索事件,那在没有密钥的情况下,如何修复被加密的文件,及时止损呢?这里,针对此勒索分享些恢复文件的小技巧。
如何恢复
网上有很多lockbit2.0勒索病毒的样本分析,我们可以获知到lockbit2.0加密速度是很快的,所以这也导致他是只加密文件的前256KB or 4KB(网上文章都是256KB,我这里遇到的是加密4KB),那这也导致了文件的可恢复性。
因为一个文件的开头部分往往是文件头信息,针对不同的文件类型有不同的文件头和文件尾。这里摘取部分文件类型的文件头信息。故我们在恢复特定文件的时候就存在了可能性。
| 文件类型 | 文件头 | 文件尾 |
|---|---|---|
| JPG | FF D8 FF E0 | FFD9 |
| GIF | 47 49 46 38 | |
| PSD | 38 42 50 53 | |
| PNG | 89 50 4E 47 | AE 42 60 82 |
| GIF | 47 49 46 38 | 00 3B |
| BMP | 42 4D | |
| TIFF | 49 49 2A 00 | |
| ZIP | 50 4B 03 04 | 50 4B | <
最低0.47元/天 解锁文章
扫一扫
1629
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
