当前位置:首页 > 攻略

勒索病毒文件恢复看这里!数据恢复技术剖析——勒索病毒加密文件修复

一个阳光明媚的下午,孝哥接到了顾客周老师的紧急支援电话。周老师电脑上的《综合训练教材》。docx《档案恶意》综合训练教材。修改为“docx.jxflasyhv”,州老师自己将文件后缀修改为“.还原为“docx”

周老师在市场上使用文件修复产品进行了修复,但最终只修复了部分照片,效果不好。(莎士比亚)。

于是,周先生向我们紧急求助。


拿到文件后,我们通过Winhex工具查看该文件的二进制数据,发现首部和中间的部分数据与正常docx文件有较大差异。

该文件的二进制数据:

正常docx文件的二进制数据:

通过对以上数据进行特征分析,并结合勒索病毒的常见行为,我们判断该文件数据已被加密,在没有秘钥的情况下,无法解密出原始数据,也无法正常打开。


在对docx文件的内部结构进行研究后,我们发现其是由一系列xml文件和媒体文件(如图片等)通过zip格式进行压缩封装。

按照zip压缩文件格式对docx文件进行解压缩后,得到了一系列具有一定目录结构的xml文件和媒体文件,常见的目录结构如下图所示:

研究发现,文本存放于word中,媒体文件存放于word/media/目录下。

word如下图所示:

在word中,文本的格式(如字体类型、大小、颜色等)和内容均存放在特定的节点或属性中,如:字体类型存放在<w:rFonts>节点的“w:hAnsi”和“w:ascii”属性中,文本内容存放在<w:t>节点中。除了文本的格式和内容,该文件中还会存放用于关联媒体文件的ID,如:图片的关联ID存放在<v:imagedata>节点的“r:id”属性中。


只要能在损坏的docx文件中找到zip文件记录,并解压缩出关键的xml文件(如word)和媒体文件,虽然这些解压缩出的文件可能存在脏数据(根据zip文件记录的压缩数据是否受到损坏而定),但依然可以解析出部分内容数据,通过这些数据再重新创建docx文件,达到修复文件的目的。流程如下:

步骤1:通过特殊标记(0x504B0102)在损坏docx文件中检索zip目录记录,并检查其结构是否正确;

步骤2:通过特殊标记(0x504B0304)在损坏docx文件中检索zip文件记录,并检查其结构是否正确;

步骤3:通过zip文件记录头(或目录记录头)中记录的压缩算法,解压缩zip文件记录中的压缩数据,其结果即为前述的xml文件和媒体文件;

步骤4:解析关键的xml文件(word和word/_rels.rels)数据,获取文本内容及其样式,以及与媒体文件(如图片等)的关联ID;

步骤5:利用步骤4解析出的数据和步骤3解压缩出的媒体文件,重新创建docx文件,完成修复。


↓ ↓ ↓

重点来了!

现在,以上所有步骤

全!都!可!以!跳!过!

目前,上述docx文件修复方法已集成于“FRM5200文件修复大师”中,通过该产品能够快速实现被勒索病毒加密的docx文件修复。经测试,数百页、近十万字的Office文档,仅需3分钟即可完成修复,修复以后的文件仍可以通过Office 和WPS正常打开使用。


☞FRM5200文件修复大师

FRM5200文件修复大师是一款可对文档、图片、视频、音频、压缩文件等多种类型的损坏文件进行修复的工具。产品既支持批量修复、导出文件,也可以对修复后的文件进行预览。

FRM5200文件修复大师预计于9月发布,届时我们将开放试用。


☞试用通道

即刻私信,备注:姓名+单位信息+联系方式,可获得优先试用名额哟~

1.《勒索病毒文件恢复看这里!数据恢复技术剖析——勒索病毒加密文件修复》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。

2.《勒索病毒文件恢复看这里!数据恢复技术剖析——勒索病毒加密文件修复》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。

3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/gl/2484740.html

上一篇

【360云盘岛国资源共享群】网络清洗影响的软件和网络磁盘

下一篇

【360ie修复】奇虎360报告已被黑客利用的IE安全漏洞 微软:无立即修复计划

关于勒索病毒文件恢复我想说电脑服务器中了勒索病毒怎么办文件如何恢复?勒索病毒数据库修复

关于勒索病毒文件恢复我想说电脑服务器中了勒索病毒怎么办文件如何恢复?勒索病毒数据库修复

勒索病毒文件恢复相关介绍,最近勒索病毒又开始猖獗,大量的服务器招募在两周内已经处理了很多Globeimposter-Alpha666qqz后缀的勒索病毒加密数据库恢复。 对于勒索病毒的前世今生就不赘述了,这里直接了当的分析勒索...

【勒索病毒文件恢复】专题中了勒索病毒,该如何恢复数据?

【勒索病毒文件恢复】专题中了勒索病毒,该如何恢复数据?

勒索病毒文件恢复相关介绍,首先,什么是勒索病毒? 勒索病毒是一种新型计算机病毒,主要以邮件、程序木马、网络话的形式传播。 勒索病毒也被称为勒索软件,通常的运作模式是进入系统后对系统内数据进行加密,直接导致系统中数据无法正常使用...

勒索病毒文件恢复 勒索病毒感染数据文件免费恢复工具下载 勒索病毒是怎么被攻克的

  • 勒索病毒文件恢复 勒索病毒感染数据文件免费恢复工具下载 勒索病毒是怎么被攻克的
  • 勒索病毒文件恢复 勒索病毒感染数据文件免费恢复工具下载 勒索病毒是怎么被攻克的
  • 勒索病毒文件恢复 勒索病毒感染数据文件免费恢复工具下载 勒索病毒是怎么被攻克的