面对越来越疯狂的勒索病毒，我不能无动于衷3

寻求专业第三方数据恢复公司技术支持修复数据

不知道是哪位专家给普及的常识“只要是被黑客加密的数据无人能解，除了黑客自己”

实际上如果想直接把非对称加密的数据暴力破解掉，以现在的计算能力，几乎是很难实现。关于非对称加密这里有详细的解说，你看完也就知道为什么专家们那么下结论了

黑客用了这种方式加密，我们为什么非要逼着自己逆向解密出来才算解密？？？？难道只有这样才能拿一百分？？？？？才显得牛XXX？？？我们要的是数据，只要能把数据拿回来，只要是合法的方法都应该被采纳。我就是用下面这些方法来解密勒索病毒的。

为什么勒索病毒可以被除黑客外的第三方解密？原因如下图

这是一个泛微OA用的SQL数据库， 被5ss5c勒索病毒加密了。加密仅仅只是数据库中的一部分数据而已，并非整个数据库都会被加密，因为黑客在加密的过程中必须平衡加密的时间和加密的质量。如果全字节加密必然耗费很长时间，那么根本来不及加密大量数据就会被客户发现，如果想快速加密必然无法全字节加密。这就给了我们可以修复的方法。经过提表重建数据库后的数据如下图

是不是通过曲线救国的方式也实现了解密数据的目的？！ 但 但 但是以上方法主要针对数据库。如果不是数据库文件，并且文件大约100M 那么也可以通过这种方式修复。但手工修起来很累也很贵。除了数据库几乎很少有文件具备这么大的价值。

1：如果被勒索加密的是数据库类型文件。 例如泛微OA，通达软件，金蝶，用友，管家婆，医院HIS系统等一般需要恢复的数据都为数据库类型文件。

例如：SQL 数据库 ，ORACLE数据库等等。都可以通过我上面说的修库的方式进行勒索病毒解密。修复的最基本原理是通过数据库提表并重建数据库。

我通过这种方式修复过上千个数据库。最大的中毒数据库单文件640G。而且数据解密后ERP系统直接可用。

2：如果勒索解密的是word excel等办公文档类型的文件并且数据文件小于100M ，那么通过上面手工修复的方式是行不通的，但不代表离开黑客就没有任何解密的可能。

黑客的加密程序也是程序，连微软这么大的软件都会有这么多漏洞，勒索病毒自然也会漏洞。我们完全可以利用黑客的漏洞把这些数据解密。当然这个不是都能行的通的。具体方法就不在这里详细说了，以免收到死亡威胁。

步骤5：谨慎联系黑客。

如果以上方法都成功修复数据，数据又确实很重要，那么不妨联系下黑客。

黑客加密完数据之后都会在电脑上留勒索信，通常你发现服务器不能用之后，第一个出现在电脑屏幕上的就是勒索信。勒索信形式各式各样，但一般都以 TXT 或者 HTML或者是EXE文件格式存在。在每一个被加密的文件夹目录里面都会有一封勒索信。勒索信如下图

可以根据黑客留的勒索信联系黑客，但请不要傻乎乎直接发邮件过去，

并非所有的黑客都遵守信用，并非拿到解密程序就可以顺利解密。黑客只接受比特币付款，虚拟货币是不记名的，你根本不知道钱付给了谁。而且无法追回比特币。

在我们以往接触的案例中，有客户付款后没有解密的，也有付款后被二次索要费用的，也有付款后成功解密的。在发邮件之前你最好做好充足的功课。有一些绝妙的操作方法我们无法公布在互联网中，因为不止你会看到我们的帖子，黑客也会看到。如果需要协助可以私信联系我们或者通过邮件联系我们。

步骤6：找准中毒原因，修复薄弱环节，避免二次中毒。

我强烈建议企业找专业的安全团队进行溯源分析。如果不想花费这个费用并且你自己具备钻研精神，那就从以下几个思路入手。

1.从各类网络设备的日志中查找异常（防火墙日志）；

2.从服务器操作系统安全日志查找异常；（windows安全日志，下图中日志被黑客清空了）

3.从客户端操作系统查找异常；（客户端异常登录日志）

4：利用网络上免费的病毒溯源工具查找异常。

时间允许的花我后续会专门写一篇详细溯源教程配合工具使用方法，

步骤7：格式化中毒的服务器并重装系统。

强烈建议不要用GHOST版本系统安装。GHOST版本系统有非常多的系统漏洞和预装软件的后门。如果企业单位批量电脑，建议自己动手做一个干净的母盘进行安装。个人电脑也建议用纯净版一步步安装。

注意！！！！！！ 注意！！！！！！！注意！！！！！！！！

安全防护绝对不是买一套防火墙或者装几套杀毒软件就能解决问题的。

任意一个新的勒索病毒的变种就可以躲开几乎所有的杀毒软件和防火墙。这也是为什么各大厂商的杀毒软件和防火墙都在持续不断的更新自己的病毒库的原因，因为只有安全人员捕获了病毒特征才有机会识别并杀掉病毒。这意味着肯定得有一部分人要先中毒牺牲掉自己，才能引起各大杀软和防火墙公司的注意。