666和{Killserver@protonmail.com}KSR后缀加密病毒的Oracle数据文件DBF恢复

近期有大量勒索加密病毒造成ORACLE数据库损坏的案例,常见的有 Hephaestus666和Aphrodite666  以及 {Killserver@protonmail.com}KSR 和 完全无意义文件名的qxlozcf :

 

 

 
λ ls -ltr
-rw-r--r-- 1 st 197121 10737427200 7月  19 05:39 MAILBOX01.DBF.Hephaestus666
-rw-r--r-- 1 st 197121  5368718080 7月  19 05:39 SF_HISTORY01.DBF.Hephaestus666
-rw-r--r-- 1 st 197121  5368718080 7月  19 05:39 SF_MBP01.DBF.Hephaestus666
-rw-r--r-- 1 st 197121 32212263680 7月  19 05:39 SYSTEM01.DBF.Hephaestus666
-rw-r--r-- 1 st 197121  5368718080 7月  19 05:39 USERS01.DBF.Hephaestus666
-rw-r--r-- 1 st 197121 32212263680 7月  19 05:39 USR01.DBF.Hephaestus666


λ ls -ltr
total 27626584
-rw-r--r-- 1 st 197121  9017762736 7月  25 07:04 'MHSOFT.DBF.{Killserver@protonmail.com}KSR'
-rw-r--r-- 1 st 197121 15544099760 7月  25 07:04 'MHSOFT02.DBF.{Killserver@protonmail.com}KSR'
-rw-r--r-- 1 st 197121   104866736 7月  25 07:04 'MHTEMP.DBF.{Killserver@protonmail.com}KSR'
-rw-r--r-- 1 st 197121  1468015536 7月  25 07:04 'STRNEWEMR.DBF.{Killserver@protonmail.com}KSR'
-rw-r--r-- 1 st 197121  1310729136 7月  25 07:04 'SYSAUX01.DBF.{Killserver@protonmail.com}KSR'
-rw-r--r-- 1 st 197121   838869936 7月  25 07:04 'SYSTEM01.DBF.{Killserver@protonmail.com}KSR'
-rw-r--r-- 1 st 197121     5252016 7月  25 07:04 'USERS01.DBF.{Killserver@protonmail.com}KSR'


λ ls -l *666
-rw-r--r-- 1 st 197121  73409280 8月   1 05:32 GAA8220120228_T.Aphrodite666
-rw-r--r-- 1 st 197121 301998848 8月   1 05:33 GADATA0004_I.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 201335552 8月   1 05:33 GADATA0004_T.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 251667200 8月   1 05:34 GADATA0006_I.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 201335552 8月   1 05:34 GADATA0006_T.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 301998848 8月   1 05:35 GADATA0008_I.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 201335552 8月   1 05:35 GADATA0008_T.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 352330496 8月   1 05:36 GADATA0010_I.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 251667200 8月   1 05:37 GADATA0010_T.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 251667200 8月   1 05:38 GADATA0012_I.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 201335552 8月   1 05:39 GADATA0012_T.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 251667200 8月   1 05:40 GADATA0014_I.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 201335552 8月   1 05:41 GADATA0014_T.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 251667200 8月   1 05:42 GADATA0016_I.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 201335552 8月   1 05:42 GADATA0016_T.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 251667200 8月   1 05:43 GADATA0018_I.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 201335552 8月   1 05:43 GADATA0018_T.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 251667200 8月   1 05:44 GADATA0020_I.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 201335552 8月   1 05:45 GADATA0020_T.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 251667200 8月   1 05:46 GADATA0025_I.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 201335552 8月   1 05:46 GADATA0025_T.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 301998848 8月   1 05:47 GADATA0027_I.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 201335552 8月   1 05:48 GADATA0027_T.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 301998848 8月   1 05:48 GADATA0028_I.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 201335552 8月   1 05:49 GADATA0028_T.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 301998848 8月   1 05:50 GADATA0030_I.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 201335552 8月   1 05:51 GADATA0030_T.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 301998848 8月   1 05:51 GADATA0032_I.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 201335552 8月   1 05:52 GADATA0032_T.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 301998848 8月   1 05:53 GADATA0034_I.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 201335552 8月   1 05:54 GADATA0034_T.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 301998848 8月   1 05:55 GADATA0036_I.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 201335552 8月   1 05:55 GADATA0036_T.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 301998848 8月   1 05:56 GADATA0038_I.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 201335552 8月   1 05:57 GADATA0038_T.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 251667200 8月   1 05:58 GADATA0040_I.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 201335552 8月   1 05:58 GADATA0040_T.DAT.Aphrodite666
-rw-r--r-- 1 st 197121 251667200 8月   1 05:59 GADATA0044_I.DAT.Aphrodite666



λ ls -ltr
total 17428672
-rw-r--r-- 1 st 197121  1069556252 12月 29  2018 SYSTEM01.DBF.qxlozcf
-rw-r--r-- 1 st 197121 15728648732 12月 29  2018 APF_MES_YW_DATA.DBF.qxlozcf
-rw-r--r-- 1 st 197121  1048584732 12月 29  2018 APF_MES_YW_DATA_MM.DBF.qxlozcf

以上这些加密类病毒破坏的Oracle数据文件均可以通过PRM DUL 软件恢复其中的数据,

为什么可以恢复这些被加密的ORACLE数据库数据文件?

因为这些文件一般比较大,超过300MB。导致恶意加密软件要加密它们时要花费大量时间和CPU,因此这些勒索软件一般仅部分加密其内容。

通过PRM-DUL的强大功能,可以恢复出其中绝大部分未被加密的内容。

PRM DUL download: https://zcdn.parnassusdata.com/DUL5108.zip

恢复流程较为复杂,可以参考如下视频:

Comment

*

沪ICP备14014813号-2

沪公网安备 31010802001379号