數(shù)據(jù)庫中了勒索病毒，怎么辦？

一、SQL Server

SQL Server 是一個關(guān)系數(shù)據(jù)庫管理系統(tǒng)。它最初是由Microsoft Sybase 和Ashton-Tate三家公司共同開發(fā)的，于1988 年推出了第一個OS/2 版本。在Windows NT 推出后，Microsoft與Sybase 在SQL Server 的開發(fā)上就分道揚鑣了，Microsoft 將SQL Server 移植到Windows NT系統(tǒng)上，專注于開發(fā)推廣SQL Server 的Windows NT 版本。Sybase 則較專注于SQL Server在UNIX 操作系統(tǒng)上的應(yīng)用。

二、 故障信息

數(shù)據(jù)庫類型：SQL Server

版本類型：2008R2

故障狀況：用戶有1個數(shù)據(jù)庫被加密，且目前無法使用。

表現(xiàn)方式：數(shù)據(jù)庫MDF、LDF、log日志文件名字已被更改，如下圖所示：

數(shù)據(jù)庫備份被加密，文件名字做了修改，具體情況如下圖所示：

三、 備份數(shù)據(jù)庫

為防止數(shù)據(jù)恢復(fù)過程中由于誤操作對原始數(shù)據(jù)庫造成二次破壞,首先要為每個庫做備份。此后所有恢復(fù)操作都在備份數(shù)據(jù)庫上進行, 杜絕對原始數(shù)據(jù)庫造成破壞。

四、 故障分析及恢復(fù)

1、使用專業(yè)恢復(fù)軟件打開中病毒的SQL server數(shù)據(jù)庫，可以看到數(shù)據(jù)庫的頭部已被破壞。

2、sqlserver 數(shù)據(jù)庫頁大小8K，按8K大小切塊，向下查找，最終分析得出，每128K進行一次加密。

3、 打開數(shù)據(jù)庫備份，發(fā)現(xiàn)也是每128K進行一次加密。

向下搜索數(shù)據(jù)庫頁起始標志01 0F，發(fā)現(xiàn)此處沒有被加密。經(jīng)過分析，數(shù)據(jù)庫與數(shù)據(jù)庫備份加密方式一樣，每128K進行一次加密，由于數(shù)據(jù)庫備份頭部記錄備份信息，數(shù)據(jù)庫頁起始向下偏移。因此數(shù)據(jù)庫中加密的頁與數(shù)據(jù)庫備份中加密的頁正好錯開。

4、 修復(fù)加密數(shù)據(jù)庫

結(jié)合數(shù)據(jù)庫備份對數(shù)據(jù)庫中加密的頁進行修復(fù)，通過數(shù)據(jù)庫管理工具附加修改好的數(shù)據(jù)庫，并進行查詢驗證。


五、數(shù)據(jù)恢復(fù)結(jié)果及驗收情況

經(jīng)用戶驗收查證，數(shù)據(jù)庫均可成功附加，顯示數(shù)據(jù)無誤，至此數(shù)據(jù)恢復(fù)工作結(jié)束。