勒索病毒

家里有臺電腦通過路由器端口映射開放了遠程桌面訪問，但由于其中一個賬號存在弱口令，導致密碼被爆破。被植入了勒索病毒，硬盤里面的所有文件都被加密，導致去年的搬磚賬號全部丟失。

根據我們多年面向搜索引擎的解決辦法的經驗，只要你搜索的足夠多，積累足夠的線索，那么解決問題是有希望。我們這次是根據“大文件只加密頭部字節”的線索，實現恢復的。

失敗的嘗試

通搜索發現，早期的勒索病毒是先刪除再加密小文件，可以通過刪除恢復找回，很可惜這次的病毒不是早期的。

繼續搜索看很多數據庫恢復的廣告，他們為什么可以恢復呢，原來對于大文件而言，勒索病毒沒辦法快速對整個文件進行全量加密，只加密了頭部字節。找他們花錢恢復是不可能的，這些數據有點雞肋，屬于丟了覺得可惜，花錢又值得。

考慮到配置文件是XML格式的，在模擬器的虛擬磁盤是有存檔的，又開始了漫長的虛擬磁盤修復嘗試，最終也以失敗告終。

有效解決辦法

大道至簡，高級的數據恢復，往往只需要簡單的操作就可實現。

用Hxd打開被加密的模擬器虛擬磁盤文件，搜索<?xml直接看文件內容了。

既然文件是明文存儲的，那么問題就簡單了，直接來一段C#腳本就把的XML的<Map>節點讀出來了。

Hxd搜索結果

C#腳本讀取的虛擬磁盤文件