甲骨文比特币加密恢复

甲骨文比特币加密恢复

运河恩墨2022-01-07

提到病毒，大多数人第一时间会想到“新型冠状病毒”。 作为Oracle DBA，说到病毒，我们也会想到近几年在Windows平台爆发的“比特币勒索病毒”。 它曾经感染了某个国家的交通系统，导致交通系统瘫痪。 感染某省国土资源厅系统，致使房地产系统10天无法正常对外提供服务。

什么是比特币勒索软件？

它实际上是一种软件，可以根据其配置的规则对指定文件进行加密。 加密完成后，Windows桌面会提示文件已加密。 如果需要解密，就转比特币，所以我们称之为“比特币勒索病毒”。

加密后的软件需要转比特币才能解密吗？

答：肯定不会，不然今天就没有文章了。

比特币勒索软件已经从一个新软件变成了今天的许多软件。 各个软件的加密规则不一样，但是原理是差不多的。 对符合条件的文件，按照指定格式加密生成新文件，并在新文件名后加上.xxxx（不同加密程序后缀不同）。 进入1.txt.xxx，同时删除原文件。

如果加密后的文件是Oracle数据的数据文件，那么整个Oracle数据库是打不开的。

我们可以在这一点上向黑客低头吗？ 当然不是。

如果你不幸遇到这样的情况，不要慌张，可以联系我们，让我们一起帮你分析。

针对比特币勒索病毒加密的Oracle数据库中不同文件对数据库的影响，我们做了如下总结：

数据库软件是加密的——没关系，重装一个Oracle软件就可以了

Oracle 控制文件和重做是加密的——此时控制文件和重做都不是那么重要

Oracle数据文件被加密——这是我们分析和恢复的重点

常见的比特币勒索软件种类繁多，并且不断有新的加入，加密规则也在不断变化。 我们总结加密规则如下：

加密文件的前1M（本文将模拟这种情况）

文件前2M加密

8k区间加密

加密文件首尾1M

全加密等

根据我们以往的恢复经验有了wallet文件找回比特币，加密程序通常不会加密整个文件。 我们可以通过工具或者一些特殊的手段提取大部分未加密的数据，以达到最大程度的恢复。 如果数据文件是完全加密的，那么大部分不会完全加密bak备份文件或者dmp文件，我们还是可以从备份中恢复尽可能多的数据。

回到基本思路：

确认文件加密范围，用于评估恢复率和恢复难度。

故障模拟（破坏文件前1M，模拟前加密1M）：

1.确认文件加密的范围。 每个数据文件的加密算法和范围都是一样的有了wallet文件找回比特币，所以只需要分析Oracle系统数据文件即可。

可以看出，从文件头到第127块都是加密的。

这里补充一下LMT数据文件的基本常识：

在文件的开头，存储了数据文件头和文件位图块等元数据块。 不同的 blocksize 文件有不同数量的位图块：

8k：前128块是元数据块（其中2-127是文件位图块）

16k：前64块是元数据块（其中2-63是文件位图块）

32k：前32块是元数据块（其中2-31是文件位图块）

共同点是无论blocksize是多少，数据文件的前1M都是数据文件的元数据块，包括OS块、数据文件头、文件位图块。

回收率和难度评估：

从脚本 error.log 的输出来看，只有文件的前 1M 被加密，因此不会丢失任何数据。 您甚至可以手动构造文件头以强制打开数据库，然后 exp 导出。 本文演示使用odu工具进行提取。

恢复过程：

前1M加密的恢复非常简单。 如果加密较多，需要通过构造odu字典信息进行提取。 极端情况下，需要提供表结构进行手工构建（所以有一个和生产库表结构一模一样的开发库或者测试库还是有好处的），过程也很麻烦，但是恢复思路保持不变。

关于作者

云和恩墨西区交付技术顾问李翔宇，长期服务移动运营商行业客户，熟悉Oracle性能优化、故障诊断、专项恢复。

结尾