勒索病毒文件恢复看这里!数据恢复技术剖析——勒索病毒加密文件修复

一个阳光明媚的下午，孝哥接到了顾客周老师的紧急支援电话。周老师电脑上的《综合训练教材》。docx《档案恶意》综合训练教材。修改为“docx.jxflasyhv”，州老师自己将文件后缀修改为“.还原为“docx”

周老师在市场上使用文件修复产品进行了修复，但最终只修复了部分照片，效果不好。(莎士比亚)。

于是，周先生向我们紧急求助。

---

一

拿到文件后，我们通过Winhex工具查看该文件的二进制数据，发现首部和中间的部分数据与正常docx文件有较大差异。

该文件的二进制数据：

正常docx文件的二进制数据：

通过对以上数据进行特征分析，并结合勒索病毒的常见行为，我们判断该文件数据已被加密，在没有秘钥的情况下，无法解密出原始数据，也无法正常打开。

---

二

在对docx文件的内部结构进行研究后，我们发现其是由一系列xml文件和媒体文件（如图片等）通过zip格式进行压缩封装。

按照zip压缩文件格式对docx文件进行解压缩后，得到了一系列具有一定目录结构的xml文件和媒体文件，常见的目录结构如下图所示：

研究发现，文本存放于word中，媒体文件存放于word/media/目录下。

word如下图所示：

在word中，文本的格式（如字体类型、大小、颜色等）和内容均存放在特定的节点或属性中，如：字体类型存放在<w:rFonts>节点的“w:hAnsi”和“w:ascii”属性中，文本内容存放在<w:t>节点中。除了文本的格式和内容，该文件中还会存放用于关联媒体文件的ID，如：图片的关联ID存放在<v:imagedata>节点的“r:id”属性中。

---

三

只要能在损坏的docx文件中找到zip文件记录，并解压缩出关键的xml文件（如word）和媒体文件，虽然这些解压缩出的文件可能存在脏数据（根据zip文件记录的压缩数据是否受到损坏而定），但依然可以解析出部分内容数据，通过这些数据再重新创建docx文件，达到修复文件的目的。流程如下：

步骤1：通过特殊标记（0x504B0102）在损坏docx文件中检索zip目录记录，并检查其结构是否正确；

步骤2：通过特殊标记（0x504B0304）在损坏docx文件中检索zip文件记录，并检查其结构是否正确；

步骤3：通过zip文件记录头（或目录记录头）中记录的压缩算法，解压缩zip文件记录中的压缩数据，其结果即为前述的xml文件和媒体文件；

步骤4：解析关键的xml文件（word和word/_rels.rels）数据，获取文本内容及其样式，以及与媒体文件（如图片等）的关联ID；

步骤5：利用步骤4解析出的数据和步骤3解压缩出的媒体文件，重新创建docx文件，完成修复。

---

↓ ↓ ↓

重点来了！

现在，以上所有步骤

全！都！可！以！跳！过！

目前，上述docx文件修复方法已集成于“FRM5200文件修复大师”中，通过该产品能够快速实现被勒索病毒加密的docx文件修复。经测试，数百页、近十万字的Office文档，仅需3分钟即可完成修复，修复以后的文件仍可以通过Office 和WPS正常打开使用。

---

☞FRM5200文件修复大师

FRM5200文件修复大师是一款可对文档、图片、视频、音频、压缩文件等多种类型的损坏文件进行修复的工具。产品既支持批量修复、导出文件，也可以对修复后的文件进行预览。

FRM5200文件修复大师预计于9月发布，届时我们将开放试用。

---

☞试用通道

即刻私信，备注：姓名+单位信息+联系方式，可获得优先试用名额哟~