作者derek364745 (derek)
看板Storage_Zone
标题[救援] 用还原的方式拿回QNAP被加密的档案
时间Tue Apr 27 14:29:53 2021
目前用还原删除档案的方式救回被加密的资料,
这个方式跟硬碟档案被删除,用救援软体的原理一样,
写入的资料越少,救援成功率越高。
我把自已的操作过程拍下来,写成中文说明。
操作步骤放在这
https://www.youtube.com/watch?v=sV3lH92DUpE
这个方法是由这个讨论区的mai2vin提供的,
https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z-read-metxt/page-22?fbclid=IwAR0cUXnaUHMXMJvEyPGfJ57dl0BcHFdBfleblujTXyJ0KwW2HEtJpGiG-YQ#entry5171398
救援前最好把对外的port先关掉,
请同事先不要使用nas的资料,
写入资料量越少,救出的档案越完整。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 59.125.131.23 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Storage_Zone/M.1619504997.A.C50.html
1F:→ dennisxkimo : 喔~放进去testdisk利用误删档案救回方式捞出来 04/27 15:11
2F:→ dennisxkimo : 因为是用7z压缩加密码加上完成後删除原档案 04/27 15:15
3F:→ bitlife : 勒索软体加密过程就一直在写入不是? 还是它是全做完 04/27 15:15
4F:→ bitlife : 所有档案才一整批删除? 04/27 15:16
5F:推 andy199113 : 好文 04/27 15:50
6F:→ derek364745 : 还没救完,不过看救援出来的档案都是可以开的 04/27 17:00
7F:→ derek364745 : 我觉得他是加密完再一次删除 04/27 17:01
8F:推 maniaque : 先建已加密档(用既有空的空间),删除档案(放出空间) 04/27 17:23
9F:→ maniaque : 原始档案虽然 table entry 被删,但透过救援还是可以 04/27 17:24
10F:→ maniaque : 追档案(只要放出的空间没有被其他档案用去) 04/27 17:24
11F:推 Ken210430 : 推 04/27 17:42
12F:推 FTICR : 推 04/27 18:38
13F:推 MK47 : 推 04/27 21:59
14F:推 TWN48 : 从之前那个捞正在进行中的加密密码的 hack 可以看到 04/27 23:39
15F:→ TWN48 : 命令列参数,是用 7z 的 -sdel: 压缩後删除原档做的 04/27 23:39
16F:推 bitlife : 我今天早上想到,勒索病毒一定是加密完一个就删一个, 04/28 06:47
17F:→ bitlife : 否则只要它工作还没完成直接砍掉,所有原档都还在,这 04/28 06:47
18F:→ bitlife : 应该不可能,所以档案数越多,就等於越早被加密後删除 04/28 06:49
19F:→ bitlife : 的档,删除後经历了越多後续的写入动作,推测能成功救 04/28 06:50
20F:→ bitlife : 回的档是较晚被加密後删除的 04/28 06:50
21F:推 money0922 : 谢谢分享,先试试看 04/28 10:42
22F:推 twnuu : 帮推,如果有用到的人可以参考 04/30 19:18