.megac加密恢复

联系:手机/微信(+86 17813235971) QQ(107644445)

标题:.megac加密恢复

作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]

oracle数据库被加密为.megac.megac后缀名,加密情况如下:
20191211223347


20191211222459


加密说明文件类似:
20191211223423


恢复数据截图:
20191211224008


这类的数据库加密,我们可以直接通过解密处理,open数据库,导出数据,恢复之后立即可用.如果需要可以联系我们从底层进行恢复:Phone:17813235971    Q Q:107644445QQ咨询惜分飞    E-Mail:dba@xifenfei.com

.chch后缀名加密恢复

联系:手机/微信(+86 17813235971) QQ(107644445)

标题:.chch后缀名加密恢复

作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]

最近有数据库被.chch病毒加密,通过分析,此类病毒可以通过数据库层面较好恢复
20191205192145
通过恢复处理,实现数据较好恢复效果如下
20191205191902


如果有此类的加密场景数据库,可以联系我们

.READINSTRUCTIONS加密数据库恢复

联系:手机/微信(+86 17813235971) QQ(107644445)

标题:.READINSTRUCTIONS加密数据库恢复

作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]

有朋友win文件系统被加密,后缀名为.READINSTRUCTIONS,上面运行有oracle数据库
20191127213813


20191127213603


通过分析,该病毒加密破坏相对比较严重,无法实现100%恢复,但是通过一系列处理,绝大部分数据还是可以顺利恢复出来
20191127214341


如果有文件系统加密数据库(Oracle,SQL Server),我们可以提供恢复服务,承诺恢复之后确认数据有价值再收费.如果有需要请联系我们:电话/微信:17813235971    Q Q:107644445QQ咨询惜分飞    E-Mail:dba@xifenfei.com

savemydata@qq.com加密数据库恢复

联系:手机/微信(+86 17813235971) QQ(107644445)

标题:savemydata@qq.com加密数据库恢复

作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]

最近遇到客户Oracle文件被加密,后缀名为:.id-BE19A09A.[savemydata@qq.com].harma
1


对应的txt文件为:
2


通过分析,确定该加密是对数据文件进行分段式进行处理加密破坏,通过分析出来oracle字典存储信息,和对应的数据存储关系,open数据库,跳过被分段加密部分,实现数据库较为完美恢复
3


对于sql server数据库,如果不幸被该中类型病毒加密,在数据库层面也可以实现较为完美恢复,尽可能减少损失,不助长黑客的猖狂行为(就是不给他们交比特币)

.YOUR_LAST_CHANCE加密数据库恢复

联系:手机/微信(+86 17813235971) QQ(107644445)

标题:.YOUR_LAST_CHANCE加密数据库恢复

作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]

最近有朋友反馈sql server数据库被加密格式为:.id_多位数字_.YOUR_LAST_CHANCE,让我们分析判断是否可以恢复.
YOUR_LAST_CHANCE


类似的txt文件为:
YOUR_LAST_CHANCE-2


通过分析,确定此类加密勒索病毒,我们可以实现较好的从数据库层面恢复,恢复之后基本上可以直接使用
sql-recover


如果你的数据库服务器(Oracle,sql server均可)不小心被这种病毒加密勒索,可以联系我们直接从数据库层面进行恢复
电话/微信:17813235971    Q Q:107644445QQ咨询惜分飞    E-Mail:dba@xifenfei.com

*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***

联系:手机/微信(+86 17813235971) QQ(107644445)

标题:*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***

作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]

最近休假的一段时间,接到不少win文件系统被加密的数据库恢复,主要集中在类似如下的病毒恢复,通过分析,可以确定对于该类加密病毒的Oracle和Sql Server数据库可以实现较为完美的恢复
1. 每个文件的目录下面有一个!!! DECRYPT MY FILES !!!.txt文件,内容为:
1


2. 加密的文件名为:在原文件名后面加上类似.id-3109967046_[Icanhelp@cock.li].firex3m
oracle1
sql1


我们通过分析对于这类加密的oracle和sql数据库基本上可以实现完美恢复(恢复结果应用可以直接运行)
sql-recover
oracle-recovery


.*4444后缀勒索病毒数据库文件修复

联系:手机/微信(+86 17813235971) QQ(107644445)

标题:.*4444后缀勒索病毒数据库文件修复

作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]

对于感染比较厉害的后缀名为*4444之类的比特币加密病毒(例如:help4444 all4444 china4444 monkey4444 snake4444 Rat4444 Tiger4444 Rabbit4444 Dragon4444 Horse4444 Goat4444 Rooster4444 Dog4444 Alco4444 Pig4444等之类的),我们可以提供基于Oracle/Sql Server数据库层面恢复,不依赖联系黑客解密
HOW_TO_BACK_FILES.txt文件内容

YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:
1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool!
4.We can decrypt few files in quality the evidence that we have the decoder.
DO NOT TRY TO DO SOMETHING WITH YOUR FILES BY YOURSELF YOU WILL BRAKE YOUR DATA!!ONLY WE ARE CAN HELP YOU! CONTACT US:
China.helper@aol.com
China.helper@india.com
ATTENTION !!! THIS IS YOUR PERSONAL ID WICH YOU HAVE TO SEND IN FIRST LETTER:
    81 D7 3E 94 A3 48 73 B3 36 EB 7F E0 96 78 CC 4E
80 39 FC 5C 1B 34 2B C4 D0 0C 4C 51 DE 35 83 75
85 6B 5D 49 33 BB E4 D6 E5 4B 0B 9A F5 77 65 3D
BF 9A 55 72 3C 46 DB 78 04 15 64 BB C6 9F 74 F4
5F B8 72 90 77 D2 2A 66 E0 2F 82 E3 4C 9B 50 FF
49 0B 22 AB 1A F8 85 33 42 49 3D 36 BF F3 FA 57
1F 66 D1 C7 AE F2 34 C7 3F A7 55 ED 92 82 F4 1B
04 71 E1 3B D6 83 D4 C9 6C 55 EC B8 91 BE A3 06
9F 12 5B 0E 37 D4 FD EC 90 3A 11 CF DB A9 96 35
69 98 61 2B 1B EC 70 C0 35 99 71 00 6D 8B 01 8C
EB C6 B7 F9 59 EE 3A E1 24 74 CF 9A 39 8A F3 A4
C1 BF 92 AE 9B F7 E1 C3 3C 1A 51 0C 3A B5 19 E9
5D 9F BD 30 43 CE D9 A9 B8 52 90 64 AF 7E 80 23
AC 37 18 70 67 DB F2 BB B0 21 54 D2 88 38 6B AB
66 E1 88 CE D0 91 82 22 D8 9F 92 E6 E4 32 A3 AD
E9 32 37 13 32 2F 36 1F A3 67 1F 90 3B 00 46 D3

被加密数据文件类似
Snake4444


如果有这个方面的恢复请求,可以随时联系我们
Phone:17813235971    Q Q:107644445QQ咨询惜分飞    E-Mail:dba@xifenfei.com
预防建议
用户应增强安全意识,完善安全防护体系,保持良好的上网习惯。建议广大用户采取如下措施应对勒索软件攻击:
1. 不要轻易打开来历不明的邮件和邮件附件;
2. 设置高强度远程桌面登录密码并妥善保管;
3. 安装防病毒软件并保持良好的病毒库升级习惯;
4. 对重要的文件还需要做好合理的备份;
5. 对内网安全域进行合理划分,各个安全域之间限制严格的ACL,限制横向移动;
6. 关闭不必要的共享权限以及端口,如:3389、445、135、139。

sql server数据库比特币加密勒索恢复

联系:手机/微信(+86 17813235971) QQ(107644445)

标题:sql server数据库比特币加密勒索恢复

作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]

对于GANDCRAB病毒加密的Oracle数据库,我们可以提供较为完美的恢复见(GANDCRAB V5.0.4 比特币加密oracle数据库恢复GANDCRAB升级版Oracle恢复,对于被GANDCRAB加密的SQL Server数据库近期我们对其进行了一些研究,现在也可以比较好的恢复.
gandcrab5.2-sql-server


1


而且如果找黑客解密需要费用为10w美元,客户无法接受该费用,系统中主要的是sql server数据库被加密,客户有几个月之前的备份,但是数据丢失严重,无法承受相关损失,请求我们给予恢复支持.通过我们一系列恢复之后,实现较为完美恢复该数据库
gandcrab5.2-sql-server1


gandcrab5.2-sql-server2


如果您的sql server数据库不幸被比特币加密,可以随时联系我们,提供数据库级别恢复支持
Phone:17813235971    Q Q:107644445QQ咨询惜分飞    E-Mail:dba@xifenfei.com

GANDCRAB升级版Oracle恢复

联系:手机/微信(+86 17813235971) QQ(107644445)

标题:GANDCRAB升级版Oracle恢复

作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]

在以前研究过GANDCRAB V5.0.4 比特币加密oracle数据库恢复,近期该病毒有了升级版,比如GANDCRAB V5.1和GANDCRAB V5.2等相关版本,通过我们分析,这些病毒的升级主要是加密算法进行了改变,加密方式没有任何变化,对于这些病毒,我们依旧可以实现Oracle数据库直接open恢复,关键表恢复,oracle dmp文件修复等相关恢复
1
gandcrab-v5.1
gandcrab-v5.2
block


如果有这个方面的恢复请求,可以随时联系我们
Phone:17813235971    Q Q:107644445QQ咨询惜分飞    E-Mail:dba@xifenfei.com

GANDCRAB V5.0.4 比特币加密oracle数据库恢复

联系:手机/微信(+86 17813235971) QQ(107644445)

标题:GANDCRAB V5.0.4 比特币加密oracle数据库恢复

作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]

接到朋友的恢复请求,win服务器文件被GANDCRAB V5.0.4的比特币勒索加密的oracle数据库(中联his[大量中文表名/xml类型]),让我们对其分析,判断是否可以恢复
3
4


通过工具对其分析,发现需要是文件头和数据文件空间使用位图相关block进行重构,主要业务数据理论上应该是好的.通过分析数据库表空间、数据文件等相关的数据库基础信息,通过人工重构,重建控制文件,经过一系列恢复,数据库强制open成功

SQL> select open_mode from v$database;
OPEN_MODE
--------------------
READ WRITE
SQL> select name from v$datafile;
NAME
--------------------------------------------------------------------------------
E:\ORCLNEW1\SYSTEM01.DBF.HKNWFZ
E:\ORCLNEW1\SYSAUX01.DBF.HKNWFZ
E:\ORCLNEW1\UNDOTBS01.DBF.HKNWFZ
E:\ORCLNEW1\USERS01.DBF.HKNWFZ
E:\ORCLNEW1\BHDATA.DBF.HKNWFZ
E:\ORCLNEW1\BHMAIL.DBF.HKNWFZ
E:\ORCLNEW1\BHINDEX.DBF.HKNWFZ
E:\ORCLNEW1\ZHBASIS.DBF.HKNWFZ
E:\ORCLNEW1\ZHARCHIVES.DBF.HKNWFZ
E:\ORCLNEW1\ZHSERVICES.DBF.HKNWFZ
E:\ORCLNEW1\ZHADVICES.DBF.HKNWFZ
E:\ORCLNEW1\ZHEXPENSES.DBF.HKNWFZ
E:\ORCLNEW1\ZHMEDICINE.DBF.HKNWFZ
E:\ORCLNEW1\ZHLAB.DBF.HKNWFZ
E:\ORCLNEW1\ZHCHECK.DBF.HKNWFZ
E:\ORCLNEW1\ZHLOB.DBF.HKNWFZ
E:\ORCLNEW1\ZHINDEX.DBF.HKNWFZ
E:\ORCLNEW1\SLREPORT.DBF.HKNWFZ
E:\ORCLNEW1\ZHMATERIAL.DBF.HKNWFZ
E:\ORCLNEW1\ZHMEDREC.DBF.HKNWFZ
E:\ORCLNEW1\ZHINSURE.DBF.HKNWFZ

由于该客户的数据库中有大量的xml列类型,导致exp无法导出,只能使用expdp进行导出,因为expdp在导出过程中会创建中间表,因此又对数据库进行一些修复,确定数据库能够正常写入对象,并且数据库导出成功
2