666和{[email protected]}KSR后缀加密病毒的Oracle数据文件DBF恢复
source link: https://www.askmaclean.com/archives/666-killserverprotonmail-com-ksr-oracle.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
666和{[email protected]}KSR后缀加密病毒的Oracle数据文件DBF恢复
近期有大量勒索加密病毒造成ORACLE数据库损坏的案例,常见的有 Hephaestus666和Aphrodite666 以及 {[email protected]}KSR 和 完全无意义文件名的qxlozcf :
λ ls -ltr -rw-r--r-- 1 st 197121 10737427200 7月 19 05:39 MAILBOX01.DBF.Hephaestus666 -rw-r--r-- 1 st 197121 5368718080 7月 19 05:39 SF_HISTORY01.DBF.Hephaestus666 -rw-r--r-- 1 st 197121 5368718080 7月 19 05:39 SF_MBP01.DBF.Hephaestus666 -rw-r--r-- 1 st 197121 32212263680 7月 19 05:39 SYSTEM01.DBF.Hephaestus666 -rw-r--r-- 1 st 197121 5368718080 7月 19 05:39 USERS01.DBF.Hephaestus666 -rw-r--r-- 1 st 197121 32212263680 7月 19 05:39 USR01.DBF.Hephaestus666 λ ls -ltr total 27626584 -rw-r--r-- 1 st 197121 9017762736 7月 25 07:04 'MHSOFT.DBF.{[email protected]}KSR' -rw-r--r-- 1 st 197121 15544099760 7月 25 07:04 'MHSOFT02.DBF.{[email protected]}KSR' -rw-r--r-- 1 st 197121 104866736 7月 25 07:04 'MHTEMP.DBF.{[email protected]}KSR' -rw-r--r-- 1 st 197121 1468015536 7月 25 07:04 'STRNEWEMR.DBF.{[email protected]}KSR' -rw-r--r-- 1 st 197121 1310729136 7月 25 07:04 'SYSAUX01.DBF.{[email protected]}KSR' -rw-r--r-- 1 st 197121 838869936 7月 25 07:04 'SYSTEM01.DBF.{[email protected]}KSR' -rw-r--r-- 1 st 197121 5252016 7月 25 07:04 'USERS01.DBF.{[email protected]}KSR' λ ls -l *666 -rw-r--r-- 1 st 197121 73409280 8月 1 05:32 GAA8220120228_T.Aphrodite666 -rw-r--r-- 1 st 197121 301998848 8月 1 05:33 GADATA0004_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:33 GADATA0004_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 251667200 8月 1 05:34 GADATA0006_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:34 GADATA0006_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 301998848 8月 1 05:35 GADATA0008_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:35 GADATA0008_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 352330496 8月 1 05:36 GADATA0010_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 251667200 8月 1 05:37 GADATA0010_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 251667200 8月 1 05:38 GADATA0012_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:39 GADATA0012_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 251667200 8月 1 05:40 GADATA0014_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:41 GADATA0014_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 251667200 8月 1 05:42 GADATA0016_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:42 GADATA0016_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 251667200 8月 1 05:43 GADATA0018_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:43 GADATA0018_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 251667200 8月 1 05:44 GADATA0020_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:45 GADATA0020_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 251667200 8月 1 05:46 GADATA0025_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:46 GADATA0025_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 301998848 8月 1 05:47 GADATA0027_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:48 GADATA0027_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 301998848 8月 1 05:48 GADATA0028_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:49 GADATA0028_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 301998848 8月 1 05:50 GADATA0030_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:51 GADATA0030_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 301998848 8月 1 05:51 GADATA0032_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:52 GADATA0032_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 301998848 8月 1 05:53 GADATA0034_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:54 GADATA0034_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 301998848 8月 1 05:55 GADATA0036_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:55 GADATA0036_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 301998848 8月 1 05:56 GADATA0038_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:57 GADATA0038_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 251667200 8月 1 05:58 GADATA0040_I.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 201335552 8月 1 05:58 GADATA0040_T.DAT.Aphrodite666 -rw-r--r-- 1 st 197121 251667200 8月 1 05:59 GADATA0044_I.DAT.Aphrodite666 λ ls -ltr total 17428672 -rw-r--r-- 1 st 197121 1069556252 12月 29 2018 SYSTEM01.DBF.qxlozcf -rw-r--r-- 1 st 197121 15728648732 12月 29 2018 APF_MES_YW_DATA.DBF.qxlozcf -rw-r--r-- 1 st 197121 1048584732 12月 29 2018 APF_MES_YW_DATA_MM.DBF.qxlozcf
以上这些加密类病毒破坏的Oracle数据文件均可以通过PRM DUL 软件恢复其中的数据,
为什么可以恢复这些被加密的ORACLE数据库数据文件?
因为这些文件一般比较大,超过300MB。导致恶意加密软件要加密它们时要花费大量时间和CPU,因此这些勒索软件一般仅部分加密其内容。
通过PRM-DUL的强大功能,可以恢复出其中绝大部分未被加密的内容。
PRM DUL download: https://zcdn.parnassusdata.com/DUL5108.zip
恢复流程较为复杂,可以参考如下视频:
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK