作者derek364745 (derek)
看板Storage_Zone
標題[救援] 用還原的方式拿回QNAP被加密的檔案
時間Tue Apr 27 14:29:53 2021
目前用還原刪除檔案的方式救回被加密的資料,
這個方式跟硬碟檔案被刪除,用救援軟體的原理一樣,
寫入的資料越少,救援成功率越高。
我把自已的操作過程拍下來,寫成中文說明。
操作步驟放在這
https://www.youtube.com/watch?v=sV3lH92DUpE
這個方法是由這個討論區的mai2vin提供的,
https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z-read-metxt/page-22?fbclid=IwAR0cUXnaUHMXMJvEyPGfJ57dl0BcHFdBfleblujTXyJ0KwW2HEtJpGiG-YQ#entry5171398
救援前最好把對外的port先關掉,
請同事先不要使用nas的資料,
寫入資料量越少,救出的檔案越完整。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.125.131.23 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Storage_Zone/M.1619504997.A.C50.html
1F:→ dennisxkimo : 喔~放進去testdisk利用誤刪檔案救回方式撈出來 04/27 15:11
2F:→ dennisxkimo : 因為是用7z壓縮加密碼加上完成後刪除原檔案 04/27 15:15
3F:→ bitlife : 勒索軟體加密過程就一直在寫入不是? 還是它是全做完 04/27 15:15
4F:→ bitlife : 所有檔案才一整批刪除? 04/27 15:16
5F:推 andy199113 : 好文 04/27 15:50
6F:→ derek364745 : 還沒救完,不過看救援出來的檔案都是可以開的 04/27 17:00
7F:→ derek364745 : 我覺得他是加密完再一次刪除 04/27 17:01
8F:推 maniaque : 先建已加密檔(用既有空的空間),刪除檔案(放出空間) 04/27 17:23
9F:→ maniaque : 原始檔案雖然 table entry 被刪,但透過救援還是可以 04/27 17:24
10F:→ maniaque : 追檔案(只要放出的空間沒有被其他檔案用去) 04/27 17:24
11F:推 Ken210430 : 推 04/27 17:42
12F:推 FTICR : 推 04/27 18:38
13F:推 MK47 : 推 04/27 21:59
14F:推 TWN48 : 從之前那個撈正在進行中的加密密碼的 hack 可以看到 04/27 23:39
15F:→ TWN48 : 命令列參數,是用 7z 的 -sdel: 壓縮後刪除原檔做的 04/27 23:39
16F:推 bitlife : 我今天早上想到,勒索病毒一定是加密完一個就刪一個, 04/28 06:47
17F:→ bitlife : 否則只要它工作還沒完成直接砍掉,所有原檔都還在,這 04/28 06:47
18F:→ bitlife : 應該不可能,所以檔案數越多,就等於越早被加密後刪除 04/28 06:49
19F:→ bitlife : 的檔,刪除後經歷了越多後續的寫入動作,推測能成功救 04/28 06:50
20F:→ bitlife : 回的檔是較晚被加密後刪除的 04/28 06:50
21F:推 money0922 : 謝謝分享,先試試看 04/28 10:42
22F:推 twnuu : 幫推,如果有用到的人可以參考 04/30 19:18