适用场景
Windows/Linux 服务器文件被加密、ESXi 虚拟机被加密、数据库文件损坏、备份不可用、内网多台主机同时感染。
Ransomware Data Recovery
勒索病毒数据恢复服务
当企业服务器、数据库、虚拟化平台或办公文件被勒索病毒加密后,三人行网络安全可协助完成现场保护、样本分析、恢复可行性评估、数据恢复、攻击溯源与系统加固。
评估材料
勒索信、加密文件样本、原始文件样本、加密后缀、备份状态、服务器日志、数据库类型和业务紧急程度。
恢复边界
不承诺所有场景都能恢复。恢复结果取决于病毒家族、加密方式、磁盘写入情况、备份链完整性和数据损坏程度。
处理流程
1. 隔离保护
断网隔离,避免扩散和二次写入。
2. 样本分析
识别病毒家族、后缀和加密特征。
3. 路径评估
判断解密、备份恢复、数据修复等方案。
4. 恢复执行
在确认方案后执行恢复并校验数据。
5. 溯源加固
排查入口,修复漏洞,重建备份策略。
常见问题
文件被加密后能不能直接重装系统?
不建议。重装和格式化可能覆盖可恢复数据,也会破坏溯源证据。应先隔离并保留现场。
没有备份还可以恢复吗?
需要结合病毒类型、文件结构、数据库状态和磁盘写入情况判断,部分场景仍可尝试数据修复或结构重建。