oracle加密恢复 – Database SOS

Oracle数据库被勒索加密一键open工具–OraFHR

软件概述
1）OraFHR是由惜分飞自主研发的专业 Oracle 数据库数据文件头重构工具，通过重构文件头直接打开数据库，专为解决由于勒索病毒加密数据文件，导致Oracle数据库正常运行的情况恢复。
2）软件版权：惜分飞（www.xifenfei.com）所有，未经授权不得擅自传播或修改。
3）技术支持（包含软件授权和使用过程中的问题咨询）
QQ：107644445
邮箱：dba@xifenfei.com
微信 / 电话：+86-17813235971
4）软件使用前提：
在数据文件被加密之后，可以通过obet工具(obet实现对数据文件坏块检测功能)进行坏块检测，只有少量block损坏可以通过此工具进行恢复直接打开数据库，如果无法自行评估可以发给我进行评估确认
5）软件下载地址和使用说明
下载地址和使用说明

数据文件默认值配置

根据实际情况进行调整，如果不太懂，可以保持默认值
DBID：输入10进制数字，可以参考正常库的v$database.dbid值
DBNAME：输入长度不超过8个字符串，可以参考正常库的v$database.name值
版本输入值参考：同版本正常库偏移量block_size+24-28位置倒序，如果不确定当前数据库版本信息或者无法确认版本值该如何填写可以联系我进行分析

11.2.0.1-11.2.0.3  0B200000
11.2.0.4           0B200400
10.2.0.1           0A200100
10.2.0.3           0A200300
10.2.0.4           0A200400(有些平台依旧为0A200300)
10.2.0.5           0A200500
12.1.0.2           0C100200
12.2.0.1           0C200000
19.x               13000000
21.x               15000000
23.4               17040000

字符集：可以通过业务或者运维人员确认,如果没有办法确认可以恢复数据库sys.props$表进行确认

选择需要处理的数据文件

正常情况下，选择数据文件之后，会自动根据数据文件中前面block的信息，计算出来Rfile#信息

如果有Rfile#为0，表示需要人工根据实际情况分析进行修改，一般扩展名在选择数据文件的时候，会自动补充完成，如果不对可以人工进行调整.

完善表格中其他记录

选择wrh$_datafile文件，注意列使用|分割开，然后点击补全表格，就会自动根据当前情况进行完善表格相关信息
某些版本或者由于某些原因导致wrh$_datafile信息不全,可以通过ts$,file$进行完善（这种情况选择第二套参照方案，需要注册软件）

重构数据文件头
补全表格完成之后，可以点击重构数据文件头按钮，进行文件头重构。

后续数据库打开操作
点击后续操作命令按钮，自动生成open数据库相关操作语句文件

生成数据库open操作步骤和相关语句

参照这些文件中内容对于修复的文件进行操作，直接open库导出数据

.faust加密勒索数据库恢复

联系：手机/微信(+86 17813235971) QQ(107644445)

标题：.faust加密勒索数据库恢复

有客户的win服务器被勒索病毒加密,里面运行有用友系统的Oracle数据库，加密提示为（camry2020@aol.com）：

加密的数据文件类似（.DBF.id[0E564ACA-3493].[camry2020@aol.com].faust）:

通过工具检测发现少量block被加密破坏

对于这种级别的损坏,可以通过我开发的Oracle数据文件勒索加密恢复工具直接重构文件头

然后直接open数据库,并且导出数据,实现数据库非常完美的恢复(这个是目前除直接解密之外最好的恢复效果,没有之一)

对于类似这种被加密的勒索的数据文件,我们可以实现比较好的恢复效果,如果此类的数据库(oracle,mysql,sql server)等被加密,需要专业恢复技术支持，请联系我们:
电话/微信:17813235971 Q Q:107644445 E-Mail:dba@xifenfei.com
系统安全防护措施建议：
1.多台机器，不要使用相同的账号和口令
2.登录口令要有足够的长度和复杂性，并定期更换登录口令
3.重要资料的共享文件夹应设置访问权限控制，并进行定期备份
4.定期检测系统和软件中的安全漏洞，及时打上补丁。
5.定期到服务器检查是否存在异常。
6.安装安全防护软件，并确保其正常运行。
7.从正规渠道下载安装软件。
8.对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行。
9.保存良好的备份习惯，尽量做到每日备份，异地备份。

.locked加密勒索数据库级别恢复

联系：手机/微信(+86 17813235971) QQ(107644445)

标题：.locked加密勒索数据库级别恢复

有客户数据库被加密成.locked结尾的扩展名,数据库无法正常使用

对应的READ_ME1.html文件中信息类似:
send 0.1btc to my address:bc1ql8an5slxutu3yjyu9rvhsfcpv29tsfhv3j9lr4. contact email:service@hellowinter.online,if you can’t contact my email, please contact some data recovery company(suggest taobao.com), may they can contact to me .your id: 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
通过自研的oracle勒索加密恢复工具快速恢复文件

实现数据库直接open成功,实现数据0丢失

.eight加密数据库恢复

联系：手机/微信(+86 17813235971) QQ(107644445)

标题：.eight加密数据库恢复

有客户文件系统被加密,扩展名为:.id[4A434170-2803].[BobyWillson@gmx.com].eight,oracle数据库在其中

通过底层分区,确认该数据文件只是被加密破坏一点,通过自研的Oracle数据库文件加密勒索恢复工具处理后

直接open数据库成功

然后使用exp顺利导出数据

部分oracle数据文件被加密完美恢复

联系：手机/微信(+86 17813235971) QQ(107644445)

标题：部分oracle数据文件被加密完美恢复

客户oracle数据文件部分被加密

!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT中内容为:

!!! ALL YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: leonardoboss@onionmail.org and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: leonardoboss@onionmail.org
Reserved email: sunhuyvchay@messagesafe.io

Your personal ID: 205-37B-A6A

Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

通过坏块工具进行分析确认(每个被破坏的文件损坏block 46个)