苏州某企业机房感染GlobeImposter十二生肖勒索病毒,服务器中所以文件被勒索病毒感染加密成.Rat4444后缀,客户这台服务器是Windows Server 2012 Hyper-V虚拟化服务器,客户要求恢复后虚拟机要能正常启动运行,因为这台虚拟机系统内安装的软件有特殊用途,如果只恢复出来文件是没有任何意义的,所以恢复难度可想而知吧。
这台虚拟机磁盘存放目录在57CB4ED9-821E-4878-827B-EC81426D8502下,虚拟机硬件配件文件不重要(只要虚拟磁盘搞定了虚拟机配置文件可以重建)
虚拟磁盘:203data.vhdx.Rat4444(虚拟机D盘)
虚拟磁盘:203NEW.vhdx.Rat4444(虚拟机C盘系统盘)
工程师使用WINHEX软件分析勒索病毒加密的虚拟磁盘文件页面,找到勒索程序破坏性规律后,配合专业程序计算页面代码,手工替换加密区域,经过3天的努力全手替换,最终成功修复被勒索软件破坏的虚拟磁盘文件。
本公司工程师从2014年起就花费大量资金购买设备与大量时间进行服务器虚拟化、虚拟机、分布式存储的研究与数据灾难性恢复研究取得了宝贵的技术经验,所以现在我们处理虚拟化或者虚拟磁盘数据恢复是得心应手的。
这两个虚拟磁盘修复完成后就转换成VMware虚拟机里进行磁盘完整性调试与系统文件验证工作,经过慢长磁盘调试最终确认数据完整无误。
通知客户来我们公司现场测试虚拟机并交付验收!
未经允许不得转载:苏州盘首数据恢复 »
本文由苏州盘首发布 Admin,转载请务必保留本文链接:https://www.fixssd.cn/252.html