SQLserver数据库中勒索病毒的数据恢复案例
最新动态来源:本站原创点击数:385更新时间:2023/11/23
SQLserver数据库数据恢复环境&故障:
一台服务器上的SQLserver数据库被勒索病毒加密,无法正常使用。该服务器上部署有多个SQLserver数据库,其中有2个数据库及备份文件被加密,文件名被篡改,数据库无法使用。
SQL server数据库数据恢复过程:
1、将故障服务器上所有磁盘编号后取出,经过硬件工程师检测没有发现有硬盘存在物理故障。将所有磁盘以只读方式进行扇区级的全盘镜像备份,备份完成后将所有磁盘按照编号还原到原服务器中,后续的数据分析和数据恢复操作都基于镜像文件进行,避免对原始磁盘数据造成二次破坏。
2、在镜像文件中使用工具打开SQLserver数据库,经过检查发现SQLserver数据库底层数据中的头部信息被破坏。
3、北亚企安数据恢复工程师根据SQLserver数据库底层数据分布规律分析病毒的加密方式。经过分析发现该SQLserver数据库页为8K,将底层数据按8K切块并向下查找分析加密方式。经过分析发现病毒采用加密方式是每隔128k进行一次大小为125字节的加密。
4、继续分析SQLserver数据库备份文件底层数据,发现备份文件的加密规律和SQLserver数据库的加密规律完全相同。
SqlServer数据库起始页标志为01 0F,北亚企安数据恢复工程师在底层检索SqlServer数据库页的起始标志,经过检索发现SqlServer数据库备份的头部记录没有被破坏,SqlServer数据库备份的头部记录了SqlServer数据库的备份信息。由于SqlServer数据库页的起始位置发生了向下的偏移,
导致SqlServer数据库中的加密位置和SqlServer数据库备份数据中的加密位置刚好错开,因此SqlServer数据库备份中的起始标志未被破坏。
5、由于SqlServer数据库加密位置与SqlServer数据库备份文件加密位置刚好错开,北亚企安数据恢复工程师结合SqlServer数据库备份文件来修复SqlServer数据库中的加密页。修复完成后通过SqlServer数据库管理工具将修复好的SqlServer数据库进行附加&检查,经过检查验证,SqlServer数据库可以正常使用。
交由用户方工程师对恢复出来的SqlServer数据库数据进行验证,经过反复的验证确认SqlServer数据库内的所有数据完整有效。本次数据恢复工作完成。