最近勒索病毒又開始猖獗，大量的服務器招募在兩周內已經處理了很多Globeimposter-Alpha666qqz后綴的勒索病毒加密數(shù)據(jù)庫恢復。

對于勒索病毒的前世今生就不贅述了，這里直接了當?shù)姆治隼账鞑《镜募用芷茐那闆r以及補救措施。

一、勒索病毒如何破壞文件

勒索病毒有很多種類，不同的擴展名，每一種勒索病毒或變種的加密原理不是一模一樣，但大多數(shù)的加密表現(xiàn)都是對文件頭部的2048或4096個扇區(qū)、尾部部分扇區(qū)進行加密破壞，中間部分分段加密或不加密。也有全扇區(qū)加密的病毒，不過這種非常少，因為效率太低了，黑客大多不會采用這種加密方式。中勒索病毒后，由于文件的結構被加密破壞，所有文件都是無法使用的。而且勒索病毒加密算法采用的是非對稱算法，想直接破解是不現(xiàn)實的。

二、中了勒索病毒怎么辦

可以先在網(wǎng)上查找有沒解密工具，如果是老款的勒索病毒，有可能是有加密工具放出的。這里注意一點，如果找到了解密工具，最好是先備份，再解密。因為如果版本不一致，會解密失敗，但同時文件底層扇區(qū)會進行相應的解密修改，導致后期就算找到一致的解密工具或解密秘鑰，都是沒辦法再成功解密的，因為加密信息已經不一致了。這里提供幾個解密工具集下載地址：

No More Ransom ：www.nomoreran

Emsisoft ：www.em?

卡巴斯基：

MalwareHunterTeam ：

三、交贖金解密能成功嗎

交贖金大多數(shù)情況是可以解決問題的，但也有失敗的，目前主要有兩種情況,一是黑客這條線上，由于勒索病毒現(xiàn)在是一個產業(yè)鏈，主要由勒索病毒作者、傳播渠道商 、勒索者組成，甚至還有代理人，一般勒索郵件并不是直接跟病毒制作者溝通，會有很多不可控因素。出現(xiàn)過交贖金（大多是虛擬貨幣比特幣）后沒有回應、二次勒索或提供了錯誤的解密秘鑰后不再回應等情況。二是服務器端數(shù)據(jù)加密時被中斷或存儲空間滿導致沒有完全加密成功、服務器被多重加密或多個不同的勒索病毒加密等。如果加密信息不完整，這種是無法解密的，黑客自己也沒辦法。多重加密或多個病毒加密，則需要購買多個解密秘鑰才行，有一個出了問題都無法完成解密。交贖金前，也要做好準備工作，防止二次損失。

四、除了解密能否數(shù)據(jù)恢復或修復

大多數(shù)公司或個人當下中的勒索病毒都是新款或新變種，沒有解密工具，如果不想聯(lián)系黑客解密或者黑客要價太高怎么辦？之前說了，勒索病毒大多只是對文件底層扇區(qū)進行部分加密破壞，對于一個幾百兆或幾個G甚至幾百G的數(shù)據(jù)庫文件來說，很多扇區(qū)仍然是明文狀態(tài)，加密的損壞頁占比一般是很小的，這就決定了它的可修復性，不過普通的小文檔、表格、照片等則基本沒有修復的可能性，因為大多表現(xiàn)為全加密的密文狀態(tài)。所以，如果不慎中了勒索病毒，數(shù)據(jù)庫類的文件是可以不聯(lián)系黑客解密，而進行數(shù)據(jù)修復的。當然，全扇區(qū)加密除外，這種目前除了解密沒有其他辦法。

五、哪些數(shù)據(jù)庫可以進行修復

同樣，數(shù)據(jù)庫也有很多種，目前修復效果最好的就是MS SqlServer和Oracle，其他類型數(shù)據(jù)庫大多由于小文件太多，會表現(xiàn)為全加密狀態(tài)，修復效果一般?？傮w來說，單個數(shù)據(jù)庫文件越大，加密的壞頁占比越低，完整度越高。目前，Oracle數(shù)據(jù)庫修復后一般表數(shù)據(jù)、包、存儲過程、函數(shù)、索引、視圖、觸發(fā)、同義詞等都可以正常。很多人搞不清什么是數(shù)據(jù)庫，這里簡單說明下，常見的財務軟件、進銷存管理軟件、OA辦公軟件、ERP管理系統(tǒng)、收銀軟件、醫(yī)藥管理軟件等都是基于數(shù)據(jù)庫開發(fā)的，從應用軟件角度來講比如金蝶、用友、管家婆、浪潮、思訊、速達、泛微OA、通達、暢捷通、美萍、暢想、航天信息、孚盟ERP、鼎捷易飛、傲鵬、新頁、拓步、醫(yī)院HIS系統(tǒng)等如果中了勒索病毒，都可以進行數(shù)據(jù)庫修復。

目前，中了勒索病毒，除了交贖金解密、數(shù)據(jù)庫修復，還有個方法：等。如果數(shù)據(jù)不是很迫切，可以是把數(shù)據(jù)備份好，等過一段時間（可能是數(shù)年）看有沒有解密工具放出。關于病毒防護，網(wǎng)上有很多文章介紹安全設置及防護，可以參考，但不要指望這些設置和安全防護軟件能萬無一失，永遠都是病毒攻擊在前，病毒庫或系統(tǒng)補丁更新防護在后，備份才是王道。