Globeimposter*865qqz勒索病毒恢复

联系:手机/微信(+86 17813235971) QQ(107644445)

标题:Globeimposter*865qqz勒索病毒恢复

作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]

最近有客户服务器文件被加密其后缀名为:.Globeimposter-Beta865qqz,通过往上分析,起相关的后缀名有类似的:
.Globeimposter-Alpha865qqz
.Globeimposter-Beta865qqz
.Globeimposter-Delta865qqz
.Globeimposter-Epsilon865qqz
.Globeimposter-Gamma865qqz
.Globeimposter-Zeta865qqz,类似截图如下:
20200207191431


通过分析发现数据被加密破坏
20200207192144


经过对其文件的底层处理,实现绝大部分数据恢复
20200207192721


经过分析,我们可以对此类病毒的部分数据库(oracle dmp,sql bak等)进行恢复,如果有此类问题,可以联系我们进行恢复支持

mysql数据库被加密恢复

联系:手机/微信(+86 17813235971) QQ(107644445)

标题:mysql数据库被加密恢复

作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]

有客户mysql数据库被加密,加密信息如下
20200129162256


由于是mysql 5.6的版本,默认情况innodb引擎,Innodb_file_per_table参数默认为true,因此数据为每个表存在为一个单独的ibd文件中,让客户提供需要恢复的表的ibd被加密文件
20200129162048


通过一系列底层操作,实现数据完美恢复
1
2


如果是Innodb_file_per_table参数为false(5.6之前版本默认为false),需要通过ibdata文件进行恢复
如果您的数据库(oracle,mysql sql server)不幸被比特币加密,可以联系我们
Tel/微信:17813235971    Q Q:107644445 QQ咨询惜分飞    E-Mail:dba@xifenfei.com提供专业的解密恢复服务.

.WECANHELP加密数据库恢复

联系:手机/微信(+86 17813235971) QQ(107644445)

标题:.WECANHELP加密数据库恢复

作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]

接到网络恢复请求,oracle dmp文件被加密,文件名为:2020_01_10_16_00_00.DMP.id_2251820718_.WECANHELP,_RESTORE FILES_.txt文件内容为:

*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software ?"Nemesis decryptor"
You can find out the details/buy decryptor + key/ask questions by email:
        wecanhelpyou@elude.in, w3canh3lpy0u@cock.li OR wecanh3lpyou2@cock.li
IMPORTANT!
DON'T TRY TO RESTORE YOU FILES BY YOUR SELF, YOU CAN DAMAGE FILES!
If within 24 hours you did not receive an answer by email, be sure to write to Jabber: icanhelp@xmpp.jp
Your personal ID: 2251820718

通过对加密的dmp进行分析
20200117180530
我们确定,可以通过数据库技术层面对其进行恢复,实现最大限度抢救客户数据
20200117181832


如果您的数据库(oracle,mysql sql server)不幸被比特币加密,可以联系我们Tel/微信:17813235971    Q Q:107644445QQ咨询惜分飞    E-Mail:dba@xifenfei.com提供专业的解密恢复服务.

helpservis@horsefucker.org加密恢复

联系:手机/微信(+86 17813235971) QQ(107644445)

标题:helpservis@horsefucker.org加密恢复

作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]

最近有客户环境中大量服务器被感染类似如下病毒,邮箱为:helpservis@horsefucker.org,每个机器不一样的id,使用该id为文件后缀名
20191222182600
16进制方式打开文件头发现破坏如下
20191222182709


进一步分析发现文件中依旧有大量block没有被破坏
20191222182727


经过分析我们基本上可以较为完美的恢复该病毒加密数据库(sql server,oracle等)
20191222184051


这类的数据库加密,我们可以直接通过解密处理,恢复之后基本立即可用.如果需要可以联系我们从底层进行恢复:Phone:17813235971    Q Q:107644445QQ咨询惜分飞    E-Mail:dba@xifenfei.com

.megac加密恢复

联系:手机/微信(+86 17813235971) QQ(107644445)

标题:.megac加密恢复

作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]

oracle数据库被加密为.megac.megac后缀名,加密情况如下:
20191211223347


20191211222459


加密说明文件类似:
20191211223423


恢复数据截图:
20191211224008


这类的数据库加密,我们可以直接通过解密处理,open数据库,导出数据,恢复之后立即可用.如果需要可以联系我们从底层进行恢复:Phone:17813235971    Q Q:107644445QQ咨询惜分飞    E-Mail:dba@xifenfei.com

.READINSTRUCTIONS加密数据库恢复

联系:手机/微信(+86 17813235971) QQ(107644445)

标题:.READINSTRUCTIONS加密数据库恢复

作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]

有朋友win文件系统被加密,后缀名为.READINSTRUCTIONS,上面运行有oracle数据库
20191127213813


20191127213603


通过分析,该病毒加密破坏相对比较严重,无法实现100%恢复,但是通过一系列处理,绝大部分数据还是可以顺利恢复出来
20191127214341


如果有文件系统加密数据库(Oracle,SQL Server),我们可以提供恢复服务,承诺恢复之后确认数据有价值再收费.如果有需要请联系我们:电话/微信:17813235971    Q Q:107644445QQ咨询惜分飞    E-Mail:dba@xifenfei.com

oracle dmp被加密恢复

联系:手机/微信(+86 17813235971) QQ(107644445)

标题:oracle dmp被加密恢复

作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]

接到朋友恢复请求,oracle dmp文件被加密
20191124230422


通过分析文件发现该加密主要是对头尾部分block按照每16byte中8个byte置空和部分加密
20191124230702
20191124231600


通过进行恢复,对损坏部分进行跳过,剩余数据直接导入数据库,通过show=y测试数据可以正常入库,实现了dmp文件表数据的完美恢复
20191124231917
20191124232238


文件系统加密解密之后数据库异常处理

联系:手机/微信(+86 17813235971) QQ(107644445)

标题:文件系统加密解密之后数据库异常处理

作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]

有朋友数据库被文件系统勒索病毒加密,付费进行解密之后,发现所有的文本文件解密成功,但是Oracle数据库无法正常open,通过分析,虽然所有的文件名都已经恢复正常
20191114183221


但是文件内容没有被正常恢复成功
20191114183545


对于这次的情况,我们通过底层分析,发现是由于解密bug,导致文件没有被解密完成,通过对文件进行二次修复,实现数据库直接open,并导出数据
20191114183939


savemydata@qq.com加密数据库恢复

联系:手机/微信(+86 17813235971) QQ(107644445)

标题:savemydata@qq.com加密数据库恢复

作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]

最近遇到客户Oracle文件被加密,后缀名为:.id-BE19A09A.[savemydata@qq.com].harma
1


对应的txt文件为:
2


通过分析,确定该加密是对数据文件进行分段式进行处理加密破坏,通过分析出来oracle字典存储信息,和对应的数据存储关系,open数据库,跳过被分段加密部分,实现数据库较为完美恢复
3


对于sql server数据库,如果不幸被该中类型病毒加密,在数据库层面也可以实现较为完美恢复,尽可能减少损失,不助长黑客的猖狂行为(就是不给他们交比特币)

.YOUR_LAST_CHANCE加密数据库恢复

联系:手机/微信(+86 17813235971) QQ(107644445)

标题:.YOUR_LAST_CHANCE加密数据库恢复

作者:惜分飞©版权所有[未经本人同意,不得以任何形式转载,否则有进一步追究法律责任的权利.]

最近有朋友反馈sql server数据库被加密格式为:.id_多位数字_.YOUR_LAST_CHANCE,让我们分析判断是否可以恢复.
YOUR_LAST_CHANCE


类似的txt文件为:
YOUR_LAST_CHANCE-2


通过分析,确定此类加密勒索病毒,我们可以实现较好的从数据库层面恢复,恢复之后基本上可以直接使用
sql-recover


如果你的数据库服务器(Oracle,sql server均可)不小心被这种病毒加密勒索,可以联系我们直接从数据库层面进行恢复
电话/微信:17813235971    Q Q:107644445QQ咨询惜分飞    E-Mail:dba@xifenfei.com