#中毒情况分析

一个朋友遇到了mysql 数据库文件被勒索加密的安全事件，对故障现场已有信息进行分析，发现目录中有黑客留下的文件 Restore-My-Files.txt 

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: recoverlokidata@gmail.com
In case of no answer in 24h, send e-mail to this address: recoverlokidata@gmail.com
All your files will be lost on 2022?7?15? 0:17:58.
Your SYSTEM ID : 260F7306
!!!Deleting "Cpriv.Loki" causes permanent data loss.

使用mysql innodb page_stram  工具进行page 状态分析

发现page 16 前0-15个page 都是无法识别，这里猜测文件前16*16KB=256kb被加密了

ibd文件头256kb加密状态验证：

ibd文件尾部256kb加密状态验证： 

##loki 加密病毒破坏特点： 

1.大部分FRM 表结构文件都是小于256Kb ,这就意味着全部被完整加密了，目前loki 勒索病毒无逆向解密工具，frm 文件无法直接恢复，需要使用特殊工具手段恢复；

2.IBD 数据文件小于256*2= 512 KB都是被loki 病毒完整加密的；

3.大于512kb 的文件直接加密文件头尾各256kb；

##数据恢复：

利用page_stram 工具直接进行mysql 数据恢复；

 其他恢复采用特殊恢复工具，mysql_innodb_salvage_dul-V2.8.exe  进行恢复；