您所在的位置:首页 > 成功案例 > MS SQL SERVER数据库修复

数据库中了勒索病毒,怎么办?

最新动态来源:本站原创点击数:76更新时间:2019/5/21

一、SQL Server

SQL Server 是一个关系数据库管理系统。它最初是由Microsoft Sybase 和Ashton-Tate三家公司共同开发的,于1988 年推出了第一个OS/2 版本。在Windows NT 推出后,Microsoft与Sybase 在SQL Server 的开发上就分道扬镳了,Microsoft 将SQL Server 移植到Windows NT系统上,专注于开发推广SQL Server 的Windows NT 版本。Sybase 则较专注于SQL Server在UNIX 操作系统上的应用。

二、 故障信息

数据库类型:SQL Server

版本类型:2008R2

故障状况:用户有1个数据库被加密,且目前无法使用。

表现方式:数据库MDF、LDF、log日志文件名字已被更改,如下图所示:

数据库备份被加密,文件名字做了修改,具体情况如下图所示:

三、 备份数据库

为防止数据恢复过程中由于误操作对原始数据库造成二次破坏,首先要为每个库做备份。此后所有恢复操作都在备份数据库上进行, 杜绝对原始数据库造成破坏。

四、 故障分析及恢复

 

1、使用专业恢复软件打开中病毒的SQL server数据库,可以看到数据库的头部已被破坏。

2、sqlserver 数据库页大小8K,按8K大小切块,向下查找,最终分析得出,每128K进行一次加密。

3、 打开数据库备份,发现也是每128K进行一次加密。

向下搜索数据库页起始标志01 0F,发现此处没有被加密。经过分析,数据库与数据库备份加密方式一样,每128K进行一次加密,由于数据库备份头部记录备份信息,数据库页起始向下偏移。因此数据库中加密的页与数据库备份中加密的页正好错开。

4、 修复加密数据库

结合数据库备份对数据库中加密的页进行修复,通过数据库管理工具附加修改好的数据库,并进行查询验证。

五、数据恢复结果及验收情况

经用户验收查证,数据库均可成功附加,显示数据无误,至此数据恢复工作结束。